CVE-2021-43835

**Nome do software vulnerável e versões afetadas:

Versões do Sulu 2.0.0-RC1 a 2.2.17

Versões do Sulu 2.3.0 a 2.3.7

Versões do Sulu 2.4.0 anteriores à correção

Descrição:

O Sulu é um sistema de gerenciamento de conteúdo PHP de código aberto baseado na estrutura Symfony. Nas versões afetadas, usuários do Sulu que tenham acesso a qualquer subconjunto da interface de usuário administrativa podem elevar seus privilégios. Por meio da API, era possível que eles concedessem a si mesmos permissões para áreas às quais ainda não tinham acesso. Essa vulnerabilidade foi introduzida com o novo putAction do ProfileController. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.

Recomendações:

Para as versões 2.0.0-RC1 a 2.2.17 do Sulu, atualize para a versão 2.2.18 ou posterior.

Para as versões 2.3.0 a 2.3.7 do Sulu, atualize para a versão 2.3.8 ou posterior.

Para a versão 2.4.0 do Sulu, aplique o patch ao ProfileController manualmente até que uma versão corrigida esteja disponível.

Como solução alternativa temporária, considere corrigir o ProfileController das versões afetadas do Sulu sobrescrevendo-o.