CVE-2022-31140

Versões do Valinor anteriores à 0.12.0

O Valinor é uma biblioteca PHP que ajuda a mapear qualquer entrada para uma estrutura de objeto de valor fortemente tipada. Antes da versão 0.12.0, o Valinor pode chamar Throwable#getMessage() quando não deveria ter permissão para fazê-lo. Isso representa um problema em casos como uma exceção SQL exibindo um trecho de código SQL, uma exceção de conexão com banco de dados exibindo o endereço IP/nome de usuário/senha do banco de dados, ou detalhes de tempo limite/falta de memória. Os invasores poderiam usar essas informações para possíveis exfiltrações de dados, ataques de negação de serviço, ataques de enumeração, etc.

Para versões anteriores à 0.12.0, atualize para a versão 0.12.0 para resolver o problema. Como solução temporária, considere restringir o acesso a informações confidenciais que possam ser expostas por meio de Throwable#getMessage(). Evite usar Throwable#getMessage() em casos em que informações confidenciais possam ser reveladas, como exceções SQL ou exceções de conexão com o banco de dados.