گزارش آسیب‌پذیری در Laravel

گزارش آسیب‌پذیری در Laravel

تاریخ ایجاد

وجود آسیب‌پذیری بحرانی با شناسه CVE-2022-34943 و شدت خطر CVSSv3 9.8 در فریمورک Laravel که در صورت سوء استفاده موفق مهاجم احراز هویت نشده راه دور می‌تواند کد دلخواه خود را بر روی سرویس دهنده آسیب‌پذیر اجرا نماید. لازم به ذکر است این آسیب‌پذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته است و پیلود مربوطه به قیمت 5 هزار دلار به فروش می رسد. آسیب پذیری مذکور مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی میگردد. سپس مهاجم را قادر می‌سازد تا کد مورد نظر خود را بر روی سرویس دهنده اجرا نماید که پیامد های مخرب آتی را به دنبال خواهد داشت.

نسخه‌های آسیب‌پذیر
لاراول نسخه 5.1 تحت تاثیر این آسیب پذیری قرار میگیرد.

راه‌حل
به دلیل وجود این آسیب پذیری تنها در نسخه 5.1 فریمورک لاراول ، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و به روز رسانی اقدام کنند. لاراول نسخه 9 در مورخه 18 اسفند 1400 منتشر شده و جدیدترین نسخه موجود می باشد که بسیاری از موارد امنیتی در این نسخه لحاظ گردیده است و نحوه به روز رسانی به نسخه های مختلف در وب سایت رسمی لاراول توضیح داده شده است .
منبع:

https://cve.report/CVE-2022-34943

برچسب‌ها