October - это бесплатная, открытая система управления контентом (CMS) на основе PHP-фреймворка Laravel. В October версий до 1.1.2 существуе…

October - это бесплатная, открытая система управления контентом (CMS) на основе PHP-фреймворка Laravel. В October версий до 1.1.2 существует потенциальная возможность успешной атаки Host Header Poisoning на серверах с неправильной конфигурацией (т.е. сервер направляет любой запрос, независимо от заголовка HOST, к экземпляру October CMS). В версии 1.1.2 была добавлена функция, позволяющая указать набор доверенных хостов в приложении, что решает эту проблему. В качестве обходного пути можно установить для параметра конфигурации cms.linkPolicy значение force. Для дополнительной информации об атаках Host Header Poisoning см. https://portswigger.net/web-security/host-header и https://dzone.com/articles/what-is-a-host-header-attack. Рекомендуется обновить October CMS до версии 1.1.2 или выше, либо применить патчи вручную, если обновление невозможно [1]. Источники: - [1] https://github.com/octobercms/october/security/advisories/GHSA-xhfx-hgmf-v6vp - [2] https://github.com/octobercms/library/commit/f86fcbcd066d6f8b939e8fe897409d152b11c3c6 - [3] https://github.com/octobercms/library/commit/f29865ae3db7a03be7c49294cd93980ec457f10d - [4] https://github.com/octobercms/october/commit/555ab61f2313f45d7d5d138656420ead536c5d30 - [5] https://github.com/octobercms/october/commit/f638d3f78cfe91d7f6658820f9d5e424306a3db0