CVE-2022-23655

Versões do OctoberCMS anteriores à compilação 474

Versões do OctoberCMS anteriores à v1.1.10

Versão 1.0 do OctoberCMS

O problema está relacionado à falta de validação das assinaturas dos servidores de gateway no OctoberCMS, permitindo que servidores de gateway não autorizados sejam usados para extrair chaves privadas dos usuários. Isso pode levar ao acesso não autorizado a informações protegidas. A vulnerabilidade afeta autores de plugins e temas listados no marketplace do October CMS, onde um usuário final pode, inadvertidamente, expor os autores a possíveis perdas financeiras ao inserir sua chave de licença privada em um servidor comprometido. Foi divulgado que um fork do projeto October CMS v1.0 está utilizando um gateway comprometido para acessar o serviço do marketplace do October CMS, capturando informações pessoais e comerciais de usuários e autores, incluindo arquivos de código-fonte privados.

Para versões do OctoberCMS anteriores à compilação 474, atualize para a compilação 474 ou aplique o patch (e3b455ad587282f0fbcb7763c6d9c3d000ca1e6a) manualmente.

Para versões do OctoberCMS anteriores à v1.1.10, atualize para a v1.1.10 ou aplique o patch (e3b455ad587282f0fbcb7763c6d9c3d000ca1e6a) manualmente.

Para a versão 1.0 do OctoberCMS, considere atualizar para uma versão mais recente ou aplicar o patch (e3b455ad587282f0fbcb7763c6d9c3d000ca1e6a) manualmente como uma solução temporária.

Não compartilhe sua chave de licença com ninguém, exceto com o October CMS.

Verifique se o servidor de atualização do seu gateway não foi modificado.

Esteja ciente de