CVE-2023-48220

decidim, versões 0.0.1.alpha3 a 0.26.8

decidim-admin, versões 0.0.1.alpha3 a 0.26.8

decidim-system, versões 0.0.1.alpha3 a 0.26.8

Versões do devise invitable de 0.4.rc3 a 2.0.8

O recurso de convites na gem devise invitable permite que os usuários aceitem convites por tempo ilimitado por meio da funcionalidade de redefinição de senha. Essa vulnerabilidade cria dependências vulneráveis nas gems decidim, decidim-admin e decidim-system. Ao usar a funcionalidade de redefinição de senha, a gema devise invitable sempre aceita o convite pendente se o usuário tiver sido convidado, sem garantir que o convite pendente ainda seja válido conforme definido pelo período de validade de invite for. O Decidim define essa configuração como 2.weeks, o que deve ser respeitado.

Para as versões do decidim de 0.0.1.alpha3 a 0.26.8, atualize para a versão 0.26.9 ou superior.

Para as versões do decidim-admin de 0.0.1.alpha3 a 0.26.8, atualize para a versão 0.26.9 ou superior.

Para as versões do decidim-system de 0.0.1.alpha3 a 0.26.8, atualize para a versão 0.26.9 ou superior.

Para as versões do devise invitable de 0.4.rc3 a 2.0.8, atualize para a versão 2.0.9 ou superior.

Como solução temporária, os convites podem ser cancelados diretamente do banco de dados executando o comando: Decidim::User.invitation not accepted.update all(invitation token: nil)