CVE-2024-6056

Nome do software vulnerável e versões afetadas:

Versões do nasirkhan Laravel Starter até a 11.8.0

Descrição:

Foi encontrada uma vulnerabilidade no componente Password Reset Handler, afetando especificamente alguma funcionalidade desconhecida do arquivo /forgot-password. A manipulação do argumento Email leva a uma discrepância observável na resposta. O ataque pode ser lançado remotamente, com complexidade bastante alta e exploração difícil. A exploração foi divulgada ao público e pode ser utilizada.

Recomendações:

Para as versões do nasirkhan Laravel Starter até 11.8.0, considere desativar o componente Password Reset Handler ou restringir o acesso ao arquivo /forgot-password até que um patch esteja disponível. Como solução temporária, evite usar o argumento Email no componente afetado para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.