CVE-2026-41887

Nome do Software Vulnerável e Versões Afetadas Flarum versões anteriores a 1.8.16 Flarum versões anteriores a 2.0.0-rc.1

Descrição Um administrador autenticado pode injetar uma diretiva @import arbitrária no arquivo forum.css compilado. Isso ocorre porque as configurações registradas como variáveis de configuração LESS, como theme primary color, theme secondary color e qualquer chave registrada via ExtendSettings::registerLessConfigVar(), são interpoladas literalmente na fonte LESS no momento da compilação, sem a restrição adequada dos recursos @import e data-uri(). Isso permite que um invasor realize a inclusão de arquivos locais (LFI), lendo arquivos arbitrários acessíveis pelo processo PHP, ou desencadeie a falsificação de solicitação do lado do servidor (SSRF) ao iniciar solicitações HTTP(S) externas. O conteúdo extraído é então incorporado ao arquivo forum.css servido publicamente. Este problema pode ser explorado através do endpoint '/api/settings'.

Recomendações Atualize para a versão 1.8.16 para o ramo 1.x. Atualize para a versão 2.0.0-rc.1 para o ramo 2.x. Certifique-se de que as contas de administrador estejam protegidas com senhas fortes e exclusivas e autenticação de dois fatores. Restrinja o acesso de administrador apenas a usuários confiáveis.