Vulnerabilidad en los servidores en Laravel PHP Framework en October (CVE-2021-21265)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/03/2021
Última modificación:
30/05/2025
Descripción
October es una plataforma CMS gratuita, de código abierto y autoinvitada basada en Laravel PHP Framework. En October versiones anteriores a 1.1.2, cuando se ejecuta en servidores mal configurados (es decir, el servidor enruta cualquier petición, independientemente del encabezado HOST hacia una instancia CMS de october), se presenta la posibilidad de que los ataques de Envenenamiento del Encabezado de host tengan éxito. Esto ha sido solucionado en la versión 1.1.2, al agregar una función para permitir que se especifique un conjunto de hosts confiables en la aplicación. Como solución alternativa, puede establecerse el ajuste de configuración cms.linkPolicy para forzar
Impacto
Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:octobercms:october:*:*:*:*:*:*:*:* | 1.1.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/octobercms/library/commit/f29865ae3db7a03be7c49294cd93980ec457f10d
- https://github.com/octobercms/library/commit/f86fcbcd066d6f8b939e8fe897409d152b11c3c6
- https://github.com/octobercms/october/commit/555ab61f2313f45d7d5d138656420ead536c5d30
- https://github.com/octobercms/october/commit/f638d3f78cfe91d7f6658820f9d5e424306a3db0
- https://github.com/octobercms/october/security/advisories/GHSA-xhfx-hgmf-v6vp
- https://packagist.org/packages/october/backend
- https://github.com/octobercms/library/commit/f86fcbcd066d6f8b939e8fe897409d152b11c3c6
- https://github.com/octobercms/october/commit/f638d3f78cfe91d7f6658820f9d5e424306a3db0
- https://github.com/octobercms/october/security/advisories/GHSA-xhfx-hgmf-v6vp