CVE-2024-25625

Versões do pimcore/admin-ui-classic-bundle anteriores à 1.3.4

Foi descoberta uma possível falha de segurança no pimcore/admin-ui-classic-bundle. A falha envolve uma injeção de cabeçalho de host na função invitationLinkAction do UserController, especificamente na forma como $loginUrl confia na entrada do usuário. O cabeçalho de host das solicitações HTTP recebidas é usado de forma insegura ao gerar URLs. Um invasor pode manipular o cabeçalho de host HTTP nas solicitações ao endpoint “/admin/user/invitationlink”, resultando na geração de URLs com o domínio do invasor. Se um cabeçalho de host for injetado na solicitação POST, o parâmetro $loginURL é construído com esse cabeçalho de host não validado. Ele é então usado para enviar um e-mail de convite ao usuário fornecido. Essa vulnerabilidade pode ser usada para realizar ataques de phishing, fazendo com que as URLs nos e-mails de convite apontem para um domínio controlado pelo invasor.

Para versões anteriores à 1.3.4, atualize para a versão 1.3.4 ou posterior para resolver o problema. Como solução alternativa temporária, considere validar o cabeçalho de host e garantir que ele corresponda ao domínio do aplicativo. Também seria benéfico usar um host ou nome de host confiável padrão caso o cabeçalho de host recebido não seja reconhecido ou esteja ausente. Restrinja o acesso ao endpoint /admin/user/invitationlink para minimizar o risco de exploração. Evite usar a função invitationLinkAction até que o problema seja resolvido.