CVE-2020-11094Плагин October CMS debugbar версий до 3.1.0 содержит функцию, с помощью которой он будет регистрировать все запросы (и всю информацию, относящуюся к каждому запросу, включая данные сеанса) всякий раз, когда он включен. Это представляет проблему, если плагин когда-либо будет включен в системе, открытой для ненадежных пользователей, поскольку существует вероятность того, что они смогут использовать эту функцию для просмотра всех запросов, отправляемых в приложение, и получения конфиденциальной информации из этих запросов. Существует даже возможность захвата учетных записей аутентифицированных пользователей неаутентифицированными общедоступными пользователями, что затем приведет к ряду других потенциальных проблем, поскольку злоумышленник теоретически может получить полный доступ к системе при наличии необходимых условий. Проблема была исправлена в версии 3.1.0 путем блокировки доступа к панели отладки для всех пользователей; теперь для ее использования требуется аутентифицированный серверный пользователь со специально включенным разрешением, а функция, которая позволяет получить доступ к хранимой информации о запросах, ограничена другим разрешением, которое является более ограничительным.