Nome do software vulnerável e versões afetadas:

Neos Flow versões 3.0 e posteriores

Descrição:

O problema surge ao usar a segurança de entidades para proteger entidades com base em propriedades do usuário, como a empresa à qual pertencem, em combinação com o cache de consultas do Doctrine. Isso pode levar outros usuários a reutilizar consultas SQL do cache que foram criadas para outros usuários, permitindo que eles vejam entidades que não lhes são destinadas. O problema ocorre quando a segurança de entidades é usada de forma mais avançada, como verificar se um cliente vê apenas seus próprios pedidos.

Recomendações:

Para as versões 3.0 e posteriores do Neos Flow, se você usar a segurança de entidades em um Flow personalizado ou em um aplicativo Neos e tiver implementado recursos avançados de segurança de entidades, será necessário implementar a interface CacheAwareInterface em seu objeto global para um armazenamento em cache adequado. Se você usar apenas a segurança de entidades com base em funções, nenhuma ação é necessária. Se você desativou o cache do Doctrine, não será afetado.