Vulnerabilidad en Valtimo (CVE-2024-34706)

Valtimo es una plataforma de gestión de casos y procesos empresariales de código abierto. Al abrir un formulario en Valtimo, el token de acceso (JWT) del usuario se expone a `api.form.io` a través del encabezado `x-jwt-token`. Un atacante puede recuperar información personal de este token o utilizarlo para ejecutar solicitudes a la API REST de Valtimo en nombre del usuario que ha iniciado sesión. Este problema se debe a una mala configuración del componente Form.io. Se deben cumplir las siguientes condiciones para realizar este ataque: Un atacante debe tener acceso al tráfico de red en el dominio `api.form.io`; el contenido del encabezado `x-jwt-token` está registrado o disponible de otro modo para el atacante; un atacante necesita tener acceso de red a la API de Valtimo; y un atacante debe actuar dentro del tiempo de vida del token de acceso. El TTL predeterminado en Keycloak es 5 minutos. Se han parcheado las versiones 10.8.4, 11.1.6 y 11.2.2.