[ad_1]
Se ha identificado una vulnerabilidad de seguridad crítica en Laravel, el
popular framework de aplicaciones web conocido por su elegante sintaxis y
su completo conjunto de herramientas para crear aplicaciones sólidas.
Identificada como , CVE-2024-52301 (CVSS 8,7), esta vulnerabilidad podría
exponer una gran cantidad de aplicaciones basadas en Laravel a acceso no
autorizado, manipulación de datos y escalamiento de privilegios.
CVE-2024-52301 gira en torno a una validación de entrada incorrecta,
explotando específicamente la configuración del entorno de Laravel. La raíz
del problema radica en el manejo que hace Laravel de la directiva
Register_argc_argv de PHP, que permite procesar argumentos de línea de
comandos en scripts. Si esta directiva está activada, los atacantes
pueden manipular el marco a través de URL especialmente diseñadas, cambiando
las variables de entorno utilizadas por Laravel al procesar las solicitudes.
Esta validación inadecuada proporciona una vía para que los atacantes eludan
la validación de entrada o inyecten datos maliciosos. Dado que
Register_argc_argv permite el acceso a argumentos de la línea de
comandos, las aplicaciones Laravel con esta configuración habilitada enfrentan
un mayor riesgo, ya que actores maliciosos pueden explotar el comportamiento
predeterminado de PHP, obteniendo control no autorizado sobre los entornos de
las aplicaciones.
Laravel se usa ampliamente para desarrollar aplicaciones web y API, lo que
hace que esta vulnerabilidad sea particularmente preocupante debido a su
amplio impacto potencial. La falla afecta a múltiples versiones de Laravel,
incluyendo:
- Versiones < 6.20.45
- Versiones >= 7.0.0 y < 7.30.7
- Versiones >= 8.0.0 y < 8.83.28
- Versiones >= 9.0.0 y < 9.52.17
- Versiones >= 10.0.0 y < 10.48.23
- Versiones >= 11.0.0 y < 11.31.0
Las organizaciones que dependen de estas versiones de Laravel para
aplicaciones públicas corren un riesgo particular, ya que los atacantes
podrían aprovechar esta vulnerabilidad para escalar privilegios, acceder a
datos confidenciales e incluso inyectar código malicioso.
En respuesta a CVE-2024-52301, Laravel ha emitido parches en todas las
versiones afectadas, siendo las versiones actualizadas:
6.20.45,
7.30.7,
8.83.28,
9.52.17,
10.48.23,
11.31.0.
El último parche garantiza que Laravel ignore los valores argv para la
detección del entorno en SAPI (interfaces de programación de aplicaciones de
servidor) que no sean CLI, cerrando la vulnerabilidad. Para los
desarrolladores, este parche es esencial y Laravel recomienda la actualización
inmediata a estas versiones parcheadas.
Fuente:
SecurityOnline
[ad_2]
Source link
Los comentarios están cerrados.