Laravel 5.4.22 soluciona problemas de seguridad

Hace unos días se lanzó Laravel 5.4.22. Esta version solventa una vulnerabilidad relacionada con el sistema de restablecimiento de contraseñas y todos los usuarios deberían actualizar.

Laravel 5.4.22 parchea un problema de seguridad que permitía intentos de phising a los usuarios de nuestra aplicación. Utilizando el sistema de restablecimiento de contraseña, los usuarios maliciosos podían intentar engañar a nuestros usuarios introduciendo sus credenciales en una aplicación separada que ellos controlan. Puesto que el sistema de notificación de restablecimiento de contraseña utiliza el host de la petición entrante para generar la URL de restablecimiento, esta última podría imitarse. Si los usuarios no se dan cuenta de que no se encuentran en el dominio regular de su aplicación, podrían introducir sus credenciales en una aplicación maliciosa.

Las notas de la versión además mencionan que este fix se ha portado también a Laravel 5.1 y que se ha de asegurar que el enlace de restablecimiento de contraseña contiene la URL completa de nuestro sitio. Por ejemplo:

{{ url('http://example.com/password/reset/'.$token) }}

Se recomienda encarecidamente actualizar tu versión de Laravel.

Comparte este artículo

Entra en la discusión y deja tu comentario

Veces