CVE-2024-32003

{"id": "CVE-2024-32003", "metrics": {"cvssMetricV31": [{"type": "Secondary", "source": "security-advisories@github.com", "cvssData": {"scope": "UNCHANGED", "version": "3.1", "baseScore": 8.8, "attackVector": "NETWORK", "baseSeverity": "HIGH", "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H", "integrityImpact": "HIGH", "userInteraction": "REQUIRED", "attackComplexity": "LOW", "availabilityImpact": "HIGH", "privilegesRequired": "NONE", "confidentialityImpact": "HIGH"}, "impactScore": 5.9, "exploitabilityScore": 2.8}]}, "published": "2024-04-12T21:15:11.617", "references": [{"url": "https://github.com/wintercms/wn-dusk-plugin/blob/main/README.md", "source": "security-advisories@github.com"}, {"url": "https://github.com/wintercms/wn-dusk-plugin/security/advisories/GHSA-chcp-g9j5-3xxx", "source": "security-advisories@github.com"}], "vulnStatus": "Awaiting Analysis", "weaknesses": [{"type": "Secondary", "source": "security-advisories@github.com", "description": [{"lang": "en", "value": "CWE-269"}]}], "descriptions": [{"lang": "en", "value": "wn-dusk-plugin (Dusk plugin) is a plugin which integrates Laravel Dusk browser testing into Winter CMS. The Dusk plugin provides some special routes as part of its testing framework to allow a browser environment (such as headless Chrome) to act as a user in the Backend or User plugin without having to go through authentication. This route is `[[URL]]/_dusk/login/[[USER ID]]/[[MANAGER]]` - where `[[URL]]` is the base URL of the site, `[[USER ID]]` is the ID of the user account and `[[MANAGER]]` is the authentication manager (either `backend` for Backend, or `user` for the User plugin). If a configuration of a site using the Dusk plugin is set up in such a way that the Dusk plugin is available publicly and the test cases in Dusk are run with live data, this route may potentially be used to gain access to any user account in either the Backend or User plugin without authentication. As indicated in the `README`, this plugin should only be used in development and should *NOT* be used in a production instance. It is specifically recommended that the plugin be installed as a development dependency only in Composer. In order to remediate this issue, the special routes used above will now no longer be registered unless the `APP_ENV` environment variable is specifically set to `dusk`. Since Winter by default does not use this environment variable and it is not populated by default, it will only exist if Dusk's automatic configuration is used (which won't exhibit this vulnerability) or if a developer manually specifies it in their configuration. The automatic configuration performed by the Dusk plugin has also been hardened by default to use sane defaults and not allow external environment variables to leak into this configuration. This will only affect users in which the Winter CMS installation meets ALL the following criteria: 1. The Dusk plugin is installed in the Winter CMS instance. 2. The application is in production mode (ie. the `debug` config value is set to `true` in `config/app.php`). 3. The Dusk plugin's automatic configuration has been overridden, either by providing a custom `.env.dusk` file or by providing custom configuration in the `config/dusk` folder, or by providing configuration environment variables externally. 4. The environment has been configured to use production data in the database for testing, and not the temporary SQLite database that Dusk uses by default. 5. The application is connectable via the web. This issue has been fixed in version 2.1.0. Users are advised to upgrade."}, {"lang": "es", "value": "wn-dusk-plugin (complemento Dusk) es un complemento que integra las pruebas del navegador Laravel Dusk en Winter CMS. El complemento Dusk proporciona algunas rutas especiales como parte de su framework de prueba para permitir que un entorno de navegador (como Chrome sin cabeza) act\u00fae como un usuario en el complemento Backend o Usuario sin tener que pasar por la autenticaci\u00f3n. Esta ruta es `[[URL]]/_dusk/login/[[ID DE USUARIO]]/[[MANAGER]]` - donde `[[URL]]` es la URL base del sitio, `[[ID DE USUARIO] ]` es el ID de la cuenta de usuario y `[[MANAGER]]` es el administrador de autenticaci\u00f3n (ya sea `backend` para Backend o `user` para el complemento de usuario). Si la configuraci\u00f3n de un sitio que utiliza el complemento Dusk se configura de tal manera que el complemento Dusk est\u00e9 disponible p\u00fablicamente y los casos de prueba en Dusk se ejecuten con datos en vivo, esta ruta puede usarse potencialmente para obtener acceso a cualquier cuenta de usuario en ya sea el complemento Backend o Usuario sin autenticaci\u00f3n. Como se indica en el `README`, este complemento solo debe usarse en desarrollo y *NO* debe usarse en una instancia de producci\u00f3n. Se recomienda espec\u00edficamente que el complemento se instale como una dependencia de desarrollo solo en Composer. Para solucionar este problema, las rutas especiales utilizadas anteriormente ya no se registrar\u00e1n a menos que la variable de entorno `APP_ENV` est\u00e9 espec\u00edficamente configurada en `dusk`. Dado que Winter por defecto no usa esta variable de entorno y no se completa de manera predeterminada, solo existir\u00e1 si se usa la configuraci\u00f3n autom\u00e1tica de Dusk (que no exhibir\u00e1 esta vulnerabilidad) o si un desarrollador la especifica manualmente en su configuraci\u00f3n. La configuraci\u00f3n autom\u00e1tica realizada por el complemento Dusk tambi\u00e9n se ha reforzado de forma predeterminada para utilizar valores predeterminados sensatos y no permitir que variables de entorno externas se filtren en esta configuraci\u00f3n. Esto solo afectar\u00e1 a los usuarios en los que la instalaci\u00f3n de Winter CMS cumpla TODOS los siguientes criterios: 1. El complemento Dusk est\u00e1 instalado en la instancia de Winter CMS. 2. La aplicaci\u00f3n est\u00e1 en modo de producci\u00f3n (es decir, el valor de configuraci\u00f3n `debug` est\u00e1 establecido en `true` en `config/app.php`). 3. La configuraci\u00f3n autom\u00e1tica del complemento Dusk ha sido anulada, ya sea proporcionando un archivo `.env.dusk` personalizado o proporcionando una configuraci\u00f3n personalizada en la carpeta `config/dusk`, o proporcionando variables de entorno de configuraci\u00f3n externamente. 4. El entorno se ha configurado para usar datos de producci\u00f3n en la base de datos para pruebas, y no la base de datos SQLite temporal que Dusk usa por defecto. 5. La aplicaci\u00f3n se puede conectar a trav\u00e9s de la web. Este problema se solucion\u00f3 en la versi\u00f3n 2.1.0. Se recomienda a los usuarios que actualicen."}], "lastModified": "2024-04-15T13:15:31.997", "sourceIdentifier": "security-advisories@github.com"}