Kritische Sicherheitslücke in Laravel Framework - Updates verfügbar
15 November 2024
Beschreibung
Im Laravel Framework wurde eine kritische Sicherheitslücke entdeckt. Die Schwachstelle ermöglicht es Angreifern, durch manipulierte URLs unbefugten Zugriff auf Anwendungen zu erlangen und Umgebungsvariablen zu manipulieren.
CVE-Nummer(n): CVE-2024-52301
CVSS Base Score: 8.7 (Hoch)
Auswirkungen
Durch Ausnutzen der Schwachstelle können Angreifer aus der Ferne Umgebungsvariablen der Laravel-Anwendung manipulieren, was zu unbefugtem Zugriff, Datenmanipulation und Rechteausweitung führen kann. Die Schwachstelle betrifft Anwendungen, bei denen die PHP-Direktive register_argc_argv aktiviert ist.
Betroffene Systeme
- Laravel < 6.20.45
- Laravel >= 7.0.0 und < 7.30.7
- Laravel >= 8.0.0 und < 8.83.28
- Laravel >= 9.0.0 und < 9.52.17
- Laravel >= 10.0.0 und < 10.48.23
- Laravel >= 11.0.0 und < 11.31.0
Abhilfe
Der Hersteller hat Updates für alle betroffenen Versionen veröffentlicht. Betroffene Systeme sollten auf folgende oder neuere Versionen aktualisiert werden:
- 6.20.45
- 7.30.7
- 8.83.28
- 9.52.17
- 10.48.23
- 11.31.0
Hinweis
Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.
Informationsquelle(n):
Artikel über die Laravel-Schwachstelle (englisch):
https://securityonline.info/critical-laravel-flaw-cve-2024-52301-exposes-millions-of-web-applications-to-attack/