CVE-2021-41273

Versões do Pterodactyl anteriores à 1.6.6

Devido a proteções CSRF configuradas incorretamente em duas rotas, um usuário mal-intencionado poderia executar um ataque baseado em CSRF contra os seguintes pontos de extremidade: “Envio de um e-mail de teste” e “Geração de um token de implantação automática de nó”. Em nenhum momento os dados seriam expostos ao usuário mal-intencionado; isso simplesmente acionaria o envio de spam por e-mail a um usuário administrativo ou geraria um único token de implantação automática inesperadamente. Esse token não é revelado ao usuário mal-intencionado, ele é simplesmente criado inesperadamente no sistema.

Para versões anteriores à 1.6.6, atualize para a versão 1.6.6 para resolver o problema. Como solução temporária, considere restringir o acesso aos endpoints vulneráveis até que a atualização seja aplicada. Os usuários também podem, opcionalmente, aplicar manualmente as correções lançadas na v1.6.6 para corrigir seus próprios sistemas.