Kritische Schwachstelle im Laravel Framework umgeht Input Validation
Table of Contents
Die kürzlich bekanntgewordene Sicherheitslücke CVE-2024-52301 im Laravel Framework bietet Angreifern eine einfache Möglichkeit die Input Validation des Frameworks zu umgehen und erfordert somit umgehendes Handeln von Administratoren. Die Schwachstelle entsteht, wenn die register_argc_argv PHP-Direktive auf on gesetzt ist. In diesem Fall können Benutzer eine speziell gestaltete Query-String in einer URL verwenden, um die Umgebung, die vom Framework zur Verarbeitung der Anfrage verwendet wird, zu manipulieren. Dies kann dazu führen, dass das Framework mit einer ungewollten Umgebungskonfiguration arbeitet.
Die folgenden Versionen des Laravel Frameworks sind betroffen:
- 6.x.x: < 6.20.45
- 7.x.x: >= 7.0.0 und < 7.30.7
- 8.x.x: >= 8.0.0 und < 8.83.28
- 9.x.x: >= 9.0.0 und < 9.52.17
- 10.x.x: >= 10.0.0 und < 10.48.23
- 11.x.x: >= 11.0.0 und < 11.31.0
Auswirkungen:
- Vertraulichkeit: Keine Auswirkungen.
- Integrität: Diese Schwachstelle hat hohe Auswirkungen auf die Integrität, da ein Angreifer möglicherweise das Verhalten des Frameworks ändern kann.
- Verfügbarkeit: Keine Auswirkungen.
CVSS Bewertung:
Angriffsvektor: Netzwerk
Angriffskomplexität: Niedrig
Angriffsanforderungen: Keine
Erforderliche Berechtigungen: Keine
Benutzerinteraktion: Keine
Integrität: Hoch
Vertraulichkeit: Keine
Verfügbarkeit: Keine
Upgrade auf die gepatchte Version: Aktualisieren Sie Ihr Laravel Framework auf eine der oben genannten gepatchten Versionen.
Deaktivieren Sie die PHP-Direktive
register_argc_argv: Wenn möglich, sollten Sie die PHP-Direktiveregister_argc_argvin Ihrer PHP-Konfiguration auf off setzen, um die Gefahr dieser Art von Angriff zu vermeiden.