Vulnerabilidad en Laravel Dusk en Winter CMS (CVE-2024-32003)

wn-dusk-plugin (complemento Dusk) es un complemento que integra las pruebas del navegador Laravel Dusk en Winter CMS. El complemento Dusk proporciona algunas rutas especiales como parte de su framework de prueba para permitir que un entorno de navegador (como Chrome sin cabeza) actúe como un usuario en el complemento Backend o Usuario sin tener que pasar por la autenticación. Esta ruta es `[[URL]]/_dusk/login/[[ID DE USUARIO]]/[[MANAGER]]` - donde `[[URL]]` es la URL base del sitio, `[[ID DE USUARIO] ]` es el ID de la cuenta de usuario y `[[MANAGER]]` es el administrador de autenticación (ya sea `backend` para Backend o `user` para el complemento de usuario). Si la configuración de un sitio que utiliza el complemento Dusk se configura de tal manera que el complemento Dusk esté disponible públicamente y los casos de prueba en Dusk se ejecuten con datos en vivo, esta ruta puede usarse potencialmente para obtener acceso a cualquier cuenta de usuario en ya sea el complemento Backend o Usuario sin autenticación. Como se indica en el `README`, este complemento solo debe usarse en desarrollo y *NO* debe usarse en una instancia de producción. Se recomienda específicamente que el complemento se instale como una dependencia de desarrollo solo en Composer. Para solucionar este problema, las rutas especiales utilizadas anteriormente ya no se registrarán a menos que la variable de entorno `APP_ENV` esté específicamente configurada en `dusk`. Dado que Winter por defecto no usa esta variable de entorno y no se completa de manera predeterminada, solo existirá si se usa la configuración automática de Dusk (que no exhibirá esta vulnerabilidad) o si un desarrollador la especifica manualmente en su configuración. La configuración automática realizada por el complemento Dusk también se ha reforzado de forma predeterminada para utilizar valores predeterminados sensatos y no permitir que variables de entorno externas se filtren en esta configuración. Esto solo afectará a los usuarios en los que la instalación de Winter CMS cumpla TODOS los siguientes criterios: 1. El complemento Dusk está instalado en la instancia de Winter CMS. 2. La aplicación está en modo de producción (es decir, el valor de configuración `debug` está establecido en `true` en `config/app.php`). 3. La configuración automática del complemento Dusk ha sido anulada, ya sea proporcionando un archivo `.env.dusk` personalizado o proporcionando una configuración personalizada en la carpeta `config/dusk`, o proporcionando variables de entorno de configuración externamente. 4. El entorno se ha configurado para usar datos de producción en la base de datos para pruebas, y no la base de datos SQLite temporal que Dusk usa por defecto. 5. La aplicación se puede conectar a través de la web. Este problema se solucionó en la versión 2.1.0. Se recomienda a los usuarios que actualicen.