Kritische Schwachstelle im Laravel Framework umgeht Input Validation

Table of Contents

Die kürzlich bekanntgewordene Sicherheitslücke CVE-2024-52301 im Laravel Framework bietet Angreifern eine einfache Möglichkeit die Input Validation des Frameworks zu umgehen und erfordert somit umgehendes Handeln von Administratoren. Die Schwachstelle entsteht, wenn die register_argc_argv PHP-Direktive auf on gesetzt ist. In diesem Fall können Benutzer eine speziell gestaltete Query-String in einer URL verwenden, um die Umgebung, die vom Framework zur Verarbeitung der Anfrage verwendet wird, zu manipulieren. Dies kann dazu führen, dass das Framework mit einer ungewollten Umgebungskonfiguration arbeitet.

Die folgenden Versionen des Laravel Frameworks sind betroffen:

  • 6.x.x: < 6.20.45
  • 7.x.x: >= 7.0.0 und < 7.30.7
  • 8.x.x: >= 8.0.0 und < 8.83.28
  • 9.x.x: >= 9.0.0 und < 9.52.17
  • 10.x.x: >= 10.0.0 und < 10.48.23
  • 11.x.x: >= 11.0.0 und < 11.31.0

Auswirkungen:

  • Vertraulichkeit: Keine Auswirkungen.
  • Integrität: Diese Schwachstelle hat hohe Auswirkungen auf die Integrität, da ein Angreifer möglicherweise das Verhalten des Frameworks ändern kann.
  • Verfügbarkeit: Keine Auswirkungen.

CVSS Bewertung:

  • Angriffsvektor: Netzwerk

  • Angriffskomplexität: Niedrig

  • Angriffsanforderungen: Keine

  • Erforderliche Berechtigungen: Keine

  • Benutzerinteraktion: Keine

  • Integrität: Hoch

  • Vertraulichkeit: Keine

  • Verfügbarkeit: Keine

  • Upgrade auf die gepatchte Version: Aktualisieren Sie Ihr Laravel Framework auf eine der oben genannten gepatchten Versionen.

  • Deaktivieren Sie die PHP-Direktive register_argc_argv: Wenn möglich, sollten Sie die PHP-Direktive register_argc_argv in Ihrer PHP-Konfiguration auf off setzen, um die Gefahr dieser Art von Angriff zu vermeiden.

Weitere Informationen:

Related Posts

Mehrere Schwachstellen im Mazda In-Vehicle-Infotainmentsystem entdeckt

Am 7. November 2024 meldete Sicherheitsforscher Dmitry Janushkevich, dass mehrere kritische Schwachstellen im Mazda Connect Connectivity Master Unit (CMU) System entdeckt wurden, das in Mazda-Fahrzeugmodellen von 2014 bis 2021 verbaut ist. Diese Schwachstellen, die durch unzureichende Validierung von Eingaben verursacht werden, ermöglichen es Angreifern mit physischem Zugriff, über manipulierte USB-Geräte wie iPods oder Massenspeichergeräte beliebigen Code mit Root-Rechten auszuführen.

Read More

Wichtige Sicherheitsupdates für Ivanti Connect Secure (ICS), Policy Secure (IPS) und Secure Access Client (ISAC)

Ivanti hat wichtige Sicherheitsupdates für Ivanti Connect Secure (ICS), Policy Secure (IPS) und Secure Access Client (ISAC) veröffentlicht, die mehrere Schwachstellen schließen. Diese Sicherheitslücken, die von mittelschwer bis kritisch reichen, betreffen verschiedene Angriffsvektoren und könnten u.a. zur Privilegieneskalation, Denial-of-Service (DoS) und Remotecodeausführung (RCE) führen. Aktuell sind keine Fälle bekannt, in denen Kunden betroffen waren.

Read More

Dresden: IT Mitarbeiter kopiert Daten von 430.000 Bürgern auf Privatgeräte

Am 8. November 2024 gab die Landeshauptstadt Dresden bekannt, dass der Eigenbetrieb IT-Dienstleistungen wegen eines möglichen Verstoßes gegen das Sächsische Datenschutzdurchführungsgesetz Ermittlungen unterstützt. Ein Mitarbeiter wird verdächtigt, unbefugt das Wahlbenachrichtigungsverzeichnis der Stadt Dresden auf einem privaten Speichermedium gespeichert zu haben. Dieses Verzeichnis umfasst sensible Daten aller wahlberechtigten Dresdner Bürger, darunter Namen, Adressen und Geburtsdaten.

Read More