وجود آسیبپذیری بحرانی با شناسه CVE-2022-34943 و شدت خطر CVSSv3 9.8 در فریمورک Laravel که در صورت سوء استفاده موفق مهاجم احراز هویت نشده راه دور میتواند کد دلخواه خود را بر روی سرویس دهنده آسیبپذیر اجرا نماید. لازم به ذکر است این آسیبپذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته است و پیلود مربوطه به قیمت 5 هزار دلار به فروش می رسد. آسیب پذیری مذکور مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی میگردد. سپس مهاجم را قادر میسازد تا کد مورد نظر خود را بر روی سرویس دهنده اجرا نماید که پیامد های مخرب آتی را به دنبال خواهد داشت.
نسخههای آسیبپذیر
لاراول نسخه 5.1 تحت تاثیر این آسیب پذیری قرار میگیرد.
راهحل
به دلیل وجود این آسیب پذیری تنها در نسخه 5.1 فریمورک لاراول ، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و به روز رسانی اقدام کنند. لاراول نسخه 9 در مورخه 18 اسفند 1400 منتشر شده و جدیدترین نسخه موجود می باشد که بسیاری از موارد امنیتی در این نسخه لحاظ گردیده است و نحوه به روز رسانی به نسخه های مختلف در وب سایت رسمی لاراول توضیح داده شده است .
منبع:
- 330