CVE-2021-29349

**Nome do software vulnerável e versões afetadas:

Mahara versão 20.10

Descrição:

A vulnerabilidade permite que um invasor remoto remova mensagens da caixa de entrada no servidor devido a uma vulnerabilidade de Cross Site Request Forgery (CSRF). O aplicativo não valida o token CSRF para uma solicitação POST. Um invasor pode criar uma solicitação “module/multirecipientnotification/inbox.php pieform delete all notifications”, o que leva à remoção de todas as mensagens de uma caixa de correio.

Recomendações:

Para a versão 20.10 do Mahara, como solução temporária, considere desativar a função pieform delete all notifications no endpoint module/multirecipientnotification/inbox.php até que um patch esteja disponível. Restrinja o acesso ao módulo inbox.php para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.