Vulnerabilidad en Decidim (CVE-2023-48220)

Decidim es un framework de democracia participativa. A partir de la versión 0.4.rc3 y antes de la versión 2.0.9 de la gema `devise_invitable`, la función de invitaciones permite a los usuarios aceptar la invitación por un período de tiempo ilimitado a través de la función de restablecimiento de contraseña. Este problema crea dependencias vulnerables a partir de la versión 0.0.1.alpha3 y anteriores a las versiones 0.26.9, 0.27.5 y 0.28.0 de las gemas `decidim`, `decidim-admin` y `decidim-system`. Cuando se utiliza la función de restablecimiento de contraseña, la gema `devise_invitable` siempre acepta la invitación pendiente si el usuario ha sido invitado. La única verificación realizada es si el usuario ha sido invitado pero el código no garantiza que la invitación pendiente siga siendo válida según lo definido por el período de vencimiento de `invite_for`. Decidim establece esta configuración en `2.weeks` por lo que se debe respetar esta configuración. El error está en la gema `devise_invitable` y debería solucionarse allí y la dependencia debería actualizarse en Decidim una vez que la solución esté disponible. `devise_invitable` a la versión `2.0.9` y superiores solucionan este problema. Las versiones 0.26.9, 0.27.5 y 0.28.0 de las gemas `decidim`, `decidim-admin` y `decidim-system` contienen esta solución. Como workaround, las invitaciones se pueden cancelar directamente desde la base de datos.