CVE-2021-27908

**Nome do software vulnerável e versões afetadas:

Versões do Mautic anteriores à 3.3.2

Descrição:

A vulnerabilidade permite que um usuário administrador autorizado exponha publicamente parâmetros confidenciais, como credenciais de banco de dados, utilizando a sintaxe de parâmetros do Symfony em campos de texto livre na configuração do Mautic. Isso pode ser feito em partes da aplicação acessíveis ao público. Por exemplo, um administrador pode inserir um script no campo de script do Analytics que registre a senha do banco de dados no console, que pode então ser acessado visitando uma página de destino e abrindo o console de desenvolvedor do JavaScript.

Recomendações:

Atualize para a versão 3.3.2 para resolver o problema. Como solução temporária, considere restringir o acesso aos campos de configuração que utilizam a sintaxe de parâmetros do Symfony para minimizar o risco de exploração. Evite usar parâmetros confidenciais, como mautic.db password, em campos de texto livre até que o problema seja resolvido.