CVE-2021-32671

Versões do Flarum 1.0.0 a 1.0.1

O problema decorre do sistema de tradução do Flarum, que permitia que entradas de texto fossem convertidas em nós DOM HTML durante a renderização. Isso permitia que os usuários inserissem código HTML malicioso em determinados campos, executando-o nos navegadores dos usuários. Por exemplo, inserir <script>alert(‘test’)</script> na caixa de pesquisa do fórum resultava no aparecimento de uma caixa de alerta. Esse ataque poderia ser modificado para realizar solicitações AJAX, potencialmente excluindo discussões, modificando configurações ou perfis de usuários, ou até mesmo alterando as configurações do painel de administração se direcionado a um usuário com privilégios.

Para resolver o problema, atualize para a versão 1.0.2 do Flarum/core o mais rápido possível. Isso pode ser feito usando o comando composer update --prefer-dist --no-dev -a -W e, em seguida, confirme se a versão mais recente está instalada com composer show flarum/core.