Kritische XSS-Schwachstelle in Filament: Unvalidierte ColorColumn und ColorEntry Werte
Am 27. September 2024 wurde eine kritische Sicherheitslücke in den Laravel-Komponenten von Filament (Filament Infolists und Filament Tables) gemeldet, die Versionen von v3.0.0 bis v3.2.114 betrifft. Die Lücke CVE-2024-47186 ermöglicht Cross-Site Scripting (XSS)-Angriffe, wenn nicht validierte Werte an die ColorColumn oder ColorEntry Komponenten übergeben werden, insbesondere wenn diese Werte bösartige Zeichen enthalten.
Die Sicherheitslücke wurde in Filament v3.2.115 behoben. Anwender sollten dringend auf diese Version aktualisieren, um Angriffe zu verhindern. Es wird empfohlen, zusätzliche Farbvalidierungen einzuführen, um die Sicherheit zu erhöhen, insbesondere wenn das ColorPicker-Formular verwendet wird.