PT-2024-13465 · Decidim · Decidim
Andreslucena
·
Publicado
2024-02-20
·
Atualizado
2024-12-16
·
CVE-2023-47635
CVSS v3.1
5.7
Média
| Vetor | AV:N/AC:L/PR:L/UI:R/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do Decidim 0.23.0 a 0.27.4
Versões do Decidim 0.28.0 anteriores à correção
Descrição
O Decidim é uma estrutura de democracia participativa. A verificação do token de autenticidade CSRF está desativada na visualização dos modelos de questionário, o que pode permitir que invasores obtenham acesso a informações que não deveriam ser públicas. Esta falha não representa uma ameaça grave à segurança, pois o acesso ao cookie de sessão também é necessário para visualizar este recurso. A URL não permite a modificação do recurso.
Recomendações
Para as versões 0.23.0 a 0.27.4 do Decidim, atualize para a versão 0.27.5 ou posterior.
Para as versões 0.28.0 do Decidim anteriores à correção, atualize para a versão corrigida 0.28.0 ou posterior.
Como solução alternativa temporária, considere desativar a funcionalidade de modelos ou remover todos os modelos disponíveis para minimizar o risco de exploração.
Exploit
Correção
SSRF
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Decidim