CVE-2024-21641

Versões do Flarum anteriores à 1.8.5

A rota /logout do Flarum inclui um parâmetro de redirecionamento que permite que qualquer terceiro redirecione usuários de um domínio confiável da instalação do Flarum para qualquer link. Para usuários conectados, o logout deve ser confirmado, enquanto visitantes são redirecionados imediatamente. Isso poderia ser usado por spammers para redirecionar para um endereço da web usando um domínio confiável de uma instalação do Flarum em execução. Aproximadamente 12.602 resultados estão distribuídos principalmente nos Estados Unidos, na China e em outros países.

Para versões anteriores à 1.8.5, atualize para a versão 1.8.5 usando composer update --prefer-dist --no-dev -a -W e, em seguida, confirme a versão mais recente usando composer show flarum/core. Como solução alternativa temporária, considere usar extensões que modifiquem a rota de logout, mas somente se sua implementação for segura.