1.0.1
A vulnerabilidade CVE-2021-47754 afeta a versão 1.0.0 do Arunna, um sistema PHP. Esta falha de Cross-Site Request Forgery (CSRF) permite que atacantes manipulem as configurações do perfil de usuário, como senhas e privilégios administrativos, sem a necessidade de autenticação. A correção foi publicada em 2026-01-15 e a atualização para a versão corrigida é a solução recomendada.
Um atacante pode explorar esta vulnerabilidade CSRF para realizar diversas ações maliciosas. Ao criar um formulário malicioso e induzir um usuário autenticado a submetê-lo, o atacante pode alterar informações de perfil, como o endereço de e-mail, a senha e, crucialmente, os privilégios administrativos. Isso pode levar à tomada de controle completa da conta do usuário e, potencialmente, do sistema Arunna. A exploração bem-sucedida pode resultar em roubo de dados confidenciais, modificação de informações críticas e comprometimento da integridade do sistema.
A vulnerabilidade foi publicada em 2026-01-15. Não há informações disponíveis sobre a existência de Proof-of-Concepts (PoCs) públicos ou campanhas de exploração ativas. A severidade é classificada como média, indicando uma probabilidade moderada de exploração, especialmente em ambientes onde as práticas de segurança CSRF não são rigorosamente aplicadas.
Organizations and individuals using Arunna version 1.0.0 are at direct risk. Specifically, environments where Arunna is deployed with default configurations or where user accounts have elevated privileges are particularly vulnerable. Shared hosting environments utilizing Arunna should be carefully monitored and secured.
• php / web:
curl -I <arunna_url>/profile.php | grep -i 'csrf-token'• generic web:
curl -I <arunna_url>/profile.php | grep -i 'set-cookie'• generic web:
grep -r 'profile.php' /var/log/apache2/access.log | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.02% (percentil 6%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2021-47754 é a atualização para uma versão corrigida do Arunna, assim que disponível. Enquanto a atualização não for possível, implemente medidas de proteção CSRF, como a utilização de tokens CSRF em todos os formulários. Considere a implementação de políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados no navegador. Além disso, monitore os logs do sistema em busca de atividades suspeitas relacionadas a alterações de perfil de usuário.
Atualize para uma versão corrigida de Arunna que solucione a vulnerabilidade CSRF. Revise e fortaleça as medidas de segurança para prevenir ataques CSRF, como a implementação de tokens CSRF em todos os formulários e solicitações sensíveis.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-47754 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) na versão 1.0.0 do Arunna, que permite a manipulação de configurações de perfil de usuário sem autenticação.
Se você estiver utilizando a versão 1.0.0 do Arunna, você está potencialmente afetado. Verifique a versão instalada e atualize para a versão corrigida assim que possível.
A correção recomendada é atualizar para uma versão corrigida do Arunna. Enquanto isso não for possível, implemente medidas de proteção CSRF, como tokens CSRF em formulários.
Atualmente, não há informações disponíveis sobre exploração ativa da vulnerabilidade, mas a probabilidade de exploração existe, especialmente em ambientes com pouca proteção CSRF.
Consulte o site oficial do Arunna ou o repositório de código para obter o advisory de segurança correspondente a CVE-2021-47754.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.