CVE-2022-41938

Versões do Flarum 1.5.0 a 1.6.1

O problema decorre do sistema de títulos de página do Flarum, que permitia que os títulos fossem convertidos em nós DOM HTML durante a renderização das páginas. Isso possibilitava que um invasor injetasse código HTML malicioso por meio do campo de título de uma discussão, seja criando uma nova discussão ou renomeando uma já existente. O ataque ocorre após um visitante abrir a página da discussão em questão. Todas as comunidades que executam as versões afetadas estão sujeitas a esse risco.

Para as versões 1.5.0 a 1.6.1, atualize para a versão 1.6.2 o mais rápido possível. Para atualizar, use o comando composer update --prefer-dist --no-dev -a -W e, em seguida, confirme a versão mais recente usando composer show flarum/core.