Vulnerabilidad en Flarum (CVE-2023-22488)

Flarum es un software de foro para construir comunidades. Al utilizar la función de notificaciones, se puede leer contenido restringido/privado y evitar los controles de acceso que se implementarían para dicho contenido. El componente de envío de notificaciones no comprueba que el asunto de la notificación pueda ser visto por el receptor, y procede a enviar notificaciones a través de sus diferentes canales. A pesar de esto, las alertas no filtran datos, ya que se enumeran según una verificación de visibilidad; sin embargo, aún se envían correos electrónicos. Esto significa que, para las extensiones que restringen el acceso a las publicaciones, cualquier actor puede evitar la restricción suscribiéndose a la discusión si la extensión Suscripciones está habilitada. El ataque permite la filtración de algunas publicaciones en la base de datos del foro, incluidas publicaciones en espera de aprobación, publicaciones en etiquetas a las que el usuario no tiene acceso si pudiera suscribirse a una discusión antes de que se vuelva privada y publicaciones restringidas por extensiones de terceros. Todas las versiones de Flarum anteriores a la v1.6.3 se ven afectadas. La vulnerabilidad ha sido reparada y publicada como flarum/core v1.6.3. Todas las comunidades que ejecutan Flarum deben actualizar lo antes posible a la versión 1.6.3. Como workaround, desactive la extensión Flarum Subscriptions o desactive las notificaciones por correo electrónico por completo. No existen otros workarounds para este problema para las versiones de Flarum inferiores a 1.6.3.