CVE-2024-32003

Versões do wn-dusk-plugin anteriores à 2.1.0

O plugin Dusk fornece rotas especiais como parte de sua estrutura de testes, permitindo que um ambiente de navegador atue como um usuário no plugin Backend ou User sem autenticação. A rota [[URL]]/ dusk/login/[[USER ID]]/[[MANAGER]] pode potencialmente ser usada para obter acesso a qualquer conta de usuário sem autenticação se o plugin Dusk estiver disponível publicamente e os casos de teste forem executados com dados reais. Esta falha afeta instalações do Winter CMS que atendam a critérios específicos, incluindo ter o plugin Dusk instalado, estar em modo de produção e usar dados de produção para testes.

Para resolver o problema, atualize para a versão 2.1.0 ou posterior. Como solução alternativa temporária, considere definir a variável de ambiente APP ENV como dusk para impedir que as rotas especiais sejam registradas. Restrinja o acesso ao plugin Dusk e sua configuração para minimizar o risco de exploração. Evite usar o plugin Dusk em instâncias de produção e instale-o apenas como dependência de desenvolvimento no Composer.