CVE-2024-34706

Versões do Valtimo anteriores à 10.8.4

Versões do Valtimo anteriores à 11.1.6

Versões do Valtimo anteriores à 11.2.2

O Valtimo é uma plataforma de código aberto para gestão de processos de negócios e gestão de casos. Ao abrir um formulário no Valtimo, o token de acesso (JWT) do usuário é exposto ao api.form.io por meio do cabeçalho x-jwt-token. Um invasor pode recuperar informações pessoais a partir desse token ou usá-lo para executar solicitações à API REST do Valtimo em nome do usuário conectado. Esse problema é causado por uma configuração incorreta do componente Form.io. Para realizar esse ataque, o invasor precisa ter acesso ao tráfego de rede no domínio api.form.io, o conteúdo do cabeçalho x-jwt-token deve estar registrado ou de alguma forma disponível para o invasor, o invasor precisa ter acesso de rede à API do Valtimo e precisa agir dentro do tempo de vida do token de acesso, que é de 5 minutos por padrão no Keycloak.

Para versões anteriores à 10.8.4, atualize para a versão 10.8.4 ou posterior para resolver o problema.

Para versões anteriores à 11.1.6, atualize para a versão 11.1.6 ou posterior para resolver o problema.

Para versões anteriores à 11.2.2, atualize para a versão 11.2.2 ou posterior para resolver o problema.

Como solução alternativa temporária, considere restringir o acesso ao domínio api.form.io e à API do Valtimo para minimizar o risco de exploração. Além disso, certifique-se de que o conteúdo do cabeçalho x-jwt-token não seja registrado nem disponibilizado de outra forma