Flarum
Уязвимости
14
Эксплуатируемые
0
Макс. CVSS
10
Макс. EPSS
0.39738
Распределение по критичности
Критический
1
Высокий
4
Средний
8
Низкий
1
Затронутые диапазоны версий
1.3.0–1.6.21.5.0–1.6.2< 1.6.3< 1.7.0< 1.8.0< 1.8.10< 1.8.16< 1.8.5
Также сопоставлено как (исходные строки): flarum
Топ уязвимостей
CVE-2021-32671Flarum — это программное обеспечение для форумов для создания сообществ. Система перевода Flarum позволяла преобразовывать строковые входные данные в узлы HTML DOM при отрисовке. Это изменение было внесено после v0.1.0-beta.16 (наша последняя бета-версия перед v1.0.0) и не было замечено или задокументировано. Это позволяло любому пользователю вводить вредоносную HTML-разметку в определенных полях ввода пользователя и выполнять ее в клиентских браузерах. Примером, который привел к обнаружению этой уязвимости, было поле поиска на форуме. Ввод псевдо-вредоносной HTML-разметки, такой как `<script>alert('test')</script>`, приводил к появлению окна оповещения на форуме. Эта атака также может быть изменена для выполнения AJAX-запросов от имени пользователя, возможно, удаляя обсуждения, изменяя их настройки или профиль или даже изменяя настройки на панели администратора, если атака была нацелена на привилегированного пользователя. Все сообщества Flarum, работающие под управлением flarum v1.0.0 или v1.0.1, подвержены уязвимости. Уязвимость была исправлена и опубликована как flarum/core v1.0.2. Все сообщества, работающие под управлением Flarum v1.0, должны как можно скорее перейти на v1.0.2.
CVE-2019-13183Flarum версий до 0.1.0-beta.9 допускает CSRF против всех конечных точек POST, как показано на примере изменения настроек администратора.
CVE-2019-11514User/Command/ConfirmEmailHandler.php во Flarum до 0.1.0-beta.8 неправильно обрабатывает недействительность токенов электронной почты пользователя.
CVE-2023-40033Flarum — это программное обеспечение форума с открытым исходным кодом. Flarum подвержен уязвимости, которая позволяет злоумышленнику проводить атаку Blind Server-Side Request Forgery (SSRF) или раскрывать любой файл на сервере, даже с базовой учетной записью пользователя на любом форуме Flarum. Загрузив файл, содержащий URL-адрес, и подделав MIME-тип, злоумышленник может манипулировать приложением для выполнения непреднамеренных действий. Уязвимость связана с поведением пакета `intervention/image`, который пытается интерпретировать содержимое предоставленного файла как URL-адрес, а затем получает его содержимое. Это позволяет злоумышленнику использовать уязвимость для выполнения атак SSRF, раскрытия содержимого локальных файлов или проведения атаки типа «слепой оракул». Это было исправлено в версии Flarum 1.8.0. Пользователям рекомендуется выполнить обновление. Пользователи, не имеющие возможности выполнить обновление, могут отключить `allow_url_fopen` PHP, что предотвратит получение внешних файлов через URL-адреса в качестве временного обходного пути для аспекта SSRF уязвимости.
BDU:2023-08250Уязвимость программного обеспечения для форумов Flarum связана с недостаточной проверкой поступающих запросов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, осуществить SSRF-атаку
CVE-2025-27794Flarum — это программное обеспечение для открытых форумов. Уязвимость перехвата сеанса существует в версиях до 1.8.10, когда контролируемый злоумышленником авторитетный поддомен под основным доменом (например, `subdomain.host.com`) устанавливает куки, ограниченные основным доменом (`.host.com`). Это позволяет заменять токены сеанса для приложений, размещенных на соседних поддоменах (например, `community.host.com`), если токены сеанса не обновляются после аутентификации. Ключевые ограничения заключаются в том, что злоумышленник должен контролировать любой поддомен под основным доменом (например, `evil.host.com` или `x.y.host.com`), и основной домен не должен быть в списке общих суффиксов. Из-за отсутствия ротации токенов сеанса после аутентификации мы теоретически можем воспроизвести уязвимость с помощью инструментов разработки браузера, но из-за мер безопасности браузера это, похоже, не поддается эксплуатации, как описано. Версия 1.8.10 содержит исправление этой проблемы.
CVE-2023-22488Flarum - это программное обеспечение для форумов для создания сообществ. Используя функцию уведомлений, можно читать ограниченный/личный контент и обходить проверки доступа, которые были бы на месте для такого контента. Компонент отправки уведомлений не проверяет, может ли получатель видеть тему уведомления, и продолжает отправлять уведомления по своим различным каналам. Оповещения не раскрывают данные, несмотря на это, поскольку они перечислены на основе проверки видимости, однако электронные письма по-прежнему отправляются. Это означает, что для расширений, которые ограничивают доступ к сообщениям, любой участник может обойти ограничение, подписавшись на обсуждение, если расширение подписок включено. Атака позволяет раскрывать некоторые сообщения в базе данных форума, включая сообщения, ожидающие одобрения, сообщения в тегах, к которым у пользователя нет доступа, если они могли подписаться на обсуждение до того, как оно станет личным, и сообщения, ограниченные сторонними расширениями. Все версии Flarum до v1.6.3 включительно затронуты. Уязвимость была исправлена и опубликована как flarum/core v1.6.3. Всем сообществам, работающим на Flarum, следует как можно скорее обновиться до v1.6.3. В качестве обходного пути отключите расширение Flarum Subscriptions или отключите уведомления по электронной почте. Других поддерживаемых обходных путей для этой проблемы для версий Flarum ниже 1.6.3 нет.
CVE-2022-41938Flarum - это платформа для дискуссий с открытым исходным кодом. Система заголовков страниц Flarum позволяла преобразовывать заголовки страниц в HTML DOM-узлы при рендеринге страниц. Изменение было внесено после `v1.5` и не было замечено. Это позволило злоумышленнику внедрить вредоносную HTML-разметку с помощью ввода заголовка обсуждения, либо создав новое обсуждение, либо переименовав существующее. XSS-атака происходит после того, как посетитель открывает соответствующую страницу обсуждения. Все сообщества, работающие на Flarum с `v1.5.0` по `v1.6.1`, подвержены этой проблеме. Уязвимость была исправлена и опубликована как flarum/core `v1.6.2`. Все сообщества, работающие на Flarum с `v1.5.0` по `v1.6.1`, должны как можно скорее обновиться до v1.6.2. Обходных решений для этой проблемы нет.
CVE-2018-19133В Flarum Core 0.1.0-beta.7.1 серьезная утечка может привести к раскрытию адресов электронной почты всех пользователей.
CVE-2026-41887Flarum - это программное обеспечение форума с открытым исходным кодом. До версий 1.8.16 и 2.0.0-rc.1 патч Flarum для CVE-2023-27577 ограничивал функции @import и data-uri(LESS в настройке custom_less, но такое же ограничение никогда не применялось к другим параметрам, зарегистрированным как переменные LESS Config (например, theme_primary_color и theme_secondary_color, а также любой ключ, зарегистрированный через Extend. Эти значения интерполируются дословно в источник LESS в момент компиляции, что позволяет аутентифицированному администратору создавать значение цвета темы, которое вводит произвольную директиву @import в составный forum.css. Поскольку лежащий в основе LESS parser чествует @import (inline) '<path>', злоумышленник может читать произвольные файлы, доступные в процессе PHP (локальное включение файла) или инициировать исходящие HTTP(S) запросы (подделка запроса на стороне сервера). Этот выпуск был исправлен в версиях 1.8.16 и 2.0.0-rc.1.
CVE-2023-27577flarum — это пакет программного обеспечения для форумов для создания сообществ. В версиях до 1.7.0 учетная запись администратора, которая уже была скомпрометирована злоумышленником, может использовать уязвимость в парсере `LESS`, которую можно использовать для чтения конфиденциальных файлов на сервере с помощью методов обхода пути. Злоумышленник может добиться этого, предоставив абсолютный путь к конфиденциальному файлу в пользовательской настройке `LESS`, который затем прочитает парсер `LESS`. Например, злоумышленник может использовать следующий код для чтения содержимого файла `/etc/passwd` на машине Linux. Объем уязвимых файлов будет зависеть от разрешений, предоставленных запущенному процессу flarum. Уязвимость была устранена в версии `1.7`. Пользователям следует обновиться до этой версии, чтобы устранить уязвимость. Пользователи, не имеющие возможности обновиться, могут устранить уязвимость, убедившись, что их учетные записи администратора защищены надежными паролями, и следуют другим передовым практикам безопасности учетных записей. Кроме того, пользователи могут ограничить раскрытие конфиденциальных файлов на сервере, реализовав соответствующие разрешения для файлов и элементы управления доступом на уровне операционной системы.
CVE-2024-21641Flarum - это программное обеспечение платформы обсуждений с открытым исходным кодом. До версии 1.8.5 маршрут `/logout` Flarum включает параметр перенаправления, который позволяет любой третьей стороне перенаправлять пользователей с (доверенного) домена установки Flarum на любую ссылку. Для вошедших в систему пользователей выход из системы должен быть подтвержден. Гости немедленно перенаправляются. Это может быть использовано спамерами для перенаправления на веб-адрес с использованием доверенного домена работающей установки Flarum. Уязвимость была исправлена и опубликована как flarum/core v1.8.5. В качестве обходного пути некоторые расширения, изменяющие маршрут выхода из системы, могут устранить эту проблему, если их реализация безопасна.
CVE-2023-22487Flarum - это программное обеспечение для форумов для создания сообществ. Используя функцию упоминаний, предоставляемую расширением flarum/mentions, пользователи могут упоминать любой ID сообщения на форуме с помощью специального синтаксиса `@"<username>"#p<id>`. Следующее поведение никогда не меняется, независимо от того, должен ли участник иметь возможность читать упомянутое сообщение или нет: URL-адрес упомянутого сообщения вставляется в HTML сообщения участника, раскрывая его ID обсуждения и номер сообщения. Связь `mentionsPosts`, включенная в JSON-ответы `POST /api/posts` и `PATCH /api/posts/<id>`, раскрывает полную полезную нагрузку JSON:API всех упомянутых сообщений без какого-либо контроля доступа. Это включает в себя контент, дату, номер и атрибуты, добавленные другими расширениями. Злоумышленнику требуется только возможность создавать новые сообщения на форуме, чтобы использовать уязвимость. Это работает, даже если новые сообщения требуют одобрения. Если у них есть возможность редактировать сообщения, атака может быть выполнена еще более незаметно, используя одно сообщение для сканирования базы данных любого размера и скрывая контент атакующего сообщения впоследствии. Атака позволяет раскрывать все сообщения в базе данных форума, включая сообщения, ожидающие одобрения, сообщения в тегах, к которым у пользователя нет доступа, и личные обсуждения, созданные другими расширениями, такими как FriendsOfFlarum Byobu. Это также включает в себя сообщения, не являющиеся комментариями, такие как изменения тегов или события переименования. Полезная нагрузка обсуждения не раскрывается, но, используя HTML-полезную нагрузку упоминания, можно извлечь ID обсуждения всех сообщений и объединить все сообщения обратно в их исходные обсуждения, даже если заголовок обсуждения остается неизвестным. Все версии Flarum до 1.6.3 включительно затронуты. Уязвимость была исправлена и опубликована как flarum/core v1.6.3. В качестве обходного пути пользователь может отключить расширение упоминаний.
CVE-2023-22489Flarum - это платформа для обсуждений для веб-сайтов. Если первое сообщение в обсуждении удалено навсегда, но обсуждение остается видимым, любой участник, который может просматривать обсуждение, может создать новый ответ через REST API, независимо от разрешения на ответ или статуса блокировки. Это включает в себя пользователей, у которых нет подтвержденного адреса электронной почты. Гости не могут успешно создать ответ, потому что API завершится с ошибкой 500, когда ID пользователя 0 будет вставлен в базу данных. Это происходит потому, что когда первое сообщение в обсуждении удалено навсегда, атрибут `first_post_id` обсуждения становится `null`, что приводит к пропуску контроля доступа для всех новых ответов. Flarum автоматически делает обсуждения с нулевыми комментариями невидимыми, поэтому дополнительным условием для этой уязвимости является то, что обсуждение должно иметь как минимум один одобренный ответ, чтобы `discussions.comment_count` все еще был выше нуля после удаления сообщения. Это может открыть обсуждение для неконтролируемого спама или просто непреднамеренных ответов, если у пользователей все еще была открыта вкладка до того, как уязвимое обсуждение было заблокировано, а затем опубликовать ответ, когда они не должны иметь возможности это сделать. В сочетании с настройками уведомлений по электронной почте это также можно использовать как способ отправки нежелательных электронных писем. Затронуты версии между `v1.3.0` и `v1.6.3`. Уязвимость была исправлена и опубликована как flarum/core v1.6.3. Всем сообществам, работающим на Flarum, следует как можно скорее обновиться. Известных обходных путей нет.