Vulnerabilidad en Winter (CVE-2024-54149)

Winter es un sistema de gestión de contenido (CMS) gratuito y de código abierto basado en el marco PHP Laravel. Las versiones anteriores a las 1.2.7, 1.1.11 y 1.0.476 de Winter CMS permiten a los usuarios con acceso a las secciones de plantillas de CMS que modifican archivos Twig eludir la zona protegida colocada en los archivos Twig y modificar recursos como los valores de personalización del tema o modificar o eliminar plantillas en el tema incluso si no se les proporciona acceso directo a través de los permisos. Como todos los objetos que pasan a través de Twig son referencias a los objetos activos, también es posible manipular los datos del modelo si los modelos se pasan directamente a Twig, incluido el cambio de atributos o incluso la eliminación de registros por completo. En la mayoría de los casos, este es un comportamiento no deseado y potencialmente peligroso. Para explotar activamente este problema de seguridad, un atacante necesitaría acceso al backend con una cuenta de usuario con cualquiera de los siguientes permisos: `cms.manage_layouts`; `cms.manage_pages`; o `cms.manage_partials`. El fabricante Winter CMS recomienda encarecidamente que estos permisos se reserven únicamente para administradores y desarrolladores de confianza en general. Los encargados del mantenimiento de Winter CMS han aumentado significativamente el alcance de la sandbox, haciendo que todos los modelos y fuentes de datos sean de solo lectura en Twig, en las versiones 1.2.7, 1.1.11 y 1.0.476. Aquellos que no puedan actualizar pueden aplicar el commit. fb88e6fabde3b3278ce1844e581c87dcf7daee22 a su instalación de Winter CMS manualmente para resolver el problema. En el caso poco frecuente de que un usuario de Winter dependa de poder escribir en modelos/fuentes de datos dentro de sus plantillas de Twig, debería usar o crear componentes para realizar cambios en sus modelos.