Vulnerabilidad en Orchid (CVE-2024-51992)

Orchid es un paquete de @laravel que permite el desarrollo rápido de aplicaciones de back-office, paneles de usuario/administrador y tableros de mando. Esta vulnerabilidad es un problema de exposición de métodos (CWE-749: Método o función peligrosos expuestos) en la funcionalidad modal asincrónica de la plataforma Orchid, que afecta a los usuarios de la versión 8 a la 14.42.x de la plataforma Orchid. Los atacantes podrían aprovechar esta vulnerabilidad para llamar a métodos arbitrarios dentro de la clase `Screen`, lo que lleva a un posible ataque por fuerza bruta de las tablas de la base de datos, comprobaciones de validación de las credenciales del usuario y divulgación de la dirección IP real del servidor. El problema se ha corregido en la última versión, la 14.43.0, publicada el 6 de noviembre de 2024. Los usuarios deben actualizar a la versión 14.43.0 o posterior para solucionar esta vulnerabilidad. Si la actualización a la versión 14.43.0 no es posible de inmediato, los usuarios pueden mitigar la vulnerabilidad implementando middleware para interceptar y validar las solicitudes a los endpoints modales asincrónicos, lo que permite solo los métodos y parámetros aprobados.