Vulnerabilidad en los filtros de autorización personalizados en Hangfire (CVE-2021-41238)

Hangfire es un sistema de código abierto para llevar a cabo el procesamiento de trabajos en segundo plano en aplicaciones .NET o .NET Core. No es requerido un servicio de Windows o un proceso separado. La Interfaz de Usuario de Hangfire.Core usa filtros de autorización para evitar que se muestren datos confidenciales a usuarios no autorizados. Por defecto, cuando no se especifican filtros de autorización personalizados, es usado el filtro "LocalRequestsOnlyAuthorizationFilter" para permitir sólo las peticiones locales y prohibir todas las peticiones remotas para proporcionar datos confidenciales, protegidos por la configuración predeterminada. Sin embargo, debido a los recientes cambios, en la versión 1.7.25, no son usados filtros de autorización por defecto, permitiendo que las peticiones remotas tengan éxito. Si está usando el método "UseHangfireDashboard" con el valor de la propiedad "DashboardOptions.Authorization" por defecto, su instalación es afectada. Si es especificado cualquier otro filtro de autorización en la propiedad "DashboardOptions.Authorization", no es afectado. Las versiones parcheadas (1.7.26) están disponibles tanto en Nuget.org como en una versión etiquetada en el repositorio de github. Las reglas de autorización por defecto vuelven a prohibir las peticiones remotas por defecto al incluir el filtro "LocalRequestsOnlyAuthorizationFilter" a la configuración por defecto. Por favor, actualice a la versión más reciente para mitigar el problema. Para usuarios que no puedan actualizar, es posible mitigar el problema usando el filtro "LocalRequestsOnlyAuthorizationFilter" explícitamente cuando se configura la Interfaz de Usuario del Panel