Versões do Laravel anteriores à 6.18.34

Versões do Laravel anteriores à 7.23.2

Foi detectada uma falha de segurança no Laravel que permitia a atribuição em massa de atributos Eloquent que incluíssem o nome da tabela do modelo. Isso poderia levar ao salvamento de valores inesperados e não validados no banco de dados quando combinado com a validação. A vulnerabilidade surgiu de um recurso de “conveniência” não documentado do Eloquent que removia automaticamente o nome da tabela do atributo durante operações de atribuição em massa. Esse recurso foi removido para garantir que os atributos passem pela lógica típica de “fillable” / “guarded”, e quaisquer atributos contendo nomes de tabelas que não sejam explicitamente declarados como “fillable” serão descartados.

Para versões anteriores à 6.18.34, atualize para a versão 6.18.34 ou posterior para resolver o problema.

Para versões anteriores à 7.23.2, atualize para a versão 7.23.2 ou posterior para resolver o problema.

Como solução alternativa temporária, considere declarar explicitamente todos os atributos preenchíveis para evitar atribuições em massa inesperadas.