Vulnerabilidad en Flarum (CVE-2023-22489)

Flarum es una plataforma de discusión para sitios web. Si la primera publicación de una discusión se elimina permanentemente pero la discusión permanece visible, cualquier actor que pueda ver la discusión podrá crear una nueva respuesta a través de la API REST, sin importar el permiso de respuesta o el estado de bloqueo. Esto incluye a los usuarios que no tienen un correo electrónico validado. Los invitados no pueden crear correctamente una respuesta porque la API fallará con un error 500 cuando se inserte el ID de usuario 0 en la base de datos. Esto sucede porque cuando la primera publicación de una discusión se elimina permanentemente, el atributo "first_post_id" de la discusión se vuelve "nulo", lo que hace que se omita el control de acceso para todas las respuestas nuevas. Flarum automáticamente hace invisibles las discusiones sin comentarios, por lo que una condición adicional para esta vulnerabilidad es que la discusión debe tener al menos una respuesta aprobada para que `discussions.comment_count` siga siendo superior a cero después de la eliminación de la publicación. Esto puede abrir la discusión a spam no controlado o simplemente a respuestas no intencionales si los usuarios todavía tenían su pestaña abierta antes de que se bloqueara la discusión vulnerable y luego publicar una respuesta cuando no deberían poder hacerlo. En combinación con la configuración de notificación por correo electrónico, esto también podría usarse como una forma de enviar correos electrónicos no solicitados. Las versiones entre `v1.3.0` y `v1.6.3` se ven afectadas. La vulnerabilidad ha sido reparada y publicada como flarum/core v1.6.3. Todas las comunidades que ejecutan Flarum deberían actualizar lo antes posible. No se conocen workarounds.