Уязвимость BDU:2024-10010

Уязвимость BDU:2024-10010

Идентификатор: BDU:2024-10010.

Наименование уязвимости: Уязвимость конфигурации register_argc_argv = On PHP-фреймворка Laravel, позволяющая нарушителю оказать воздействие на целостность защищаемой информации.

Описание уязвимости: Уязвимость конфигурации register_argc_argv = On PHP-фреймворка Laravel связана с неправильной нейтрализацией разделителей аргументов в команде. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, оказать воздействие на целостность защищаемой информации
Уязвимое ПО: Прикладное ПО информационных систем Taylor Otwell Laravel до 6.20.45 | Прикладное ПО информационных систем Taylor Otwell Laravel от 7.0.0 до 7.30.7 | Прикладное ПО информационных систем Taylor Otwell Laravel от 8.0.0 до 8.83.28 | Прикладное ПО информационных систем Taylor Otwell Laravel от 9.0.0 до 9.52.17 | Прикладное ПО информационных систем Taylor Otwell Laravel от 10.0.0 до 10.48.23 | Прикладное ПО информационных систем Taylor Otwell Laravel от 11.0.0 до 11.31.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.11.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:N/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,5)
Высокий уровень опасности (базовая оценка CVSS 4.0 составляет 8,7)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/laravel/framework/security/advisories/GHSA-gv7v-rgg6-548h
https://github.com/laravel/framework/releases
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-52301.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/laravel/framework/security/advisories/GHSA-gv7v-rgg6-548h
https://www.securityhive.io/blog/understanding-cve-2024-52301-why-you-must-upgrade-your-laravel-application
https://sploitus.com/exploit?id=51116AF4-8F9B-5666-BA67-7DC53E58E1A0
https://help.reg.ru/support/hosting/php-asp-net-i-skripty/nastroyka-fayla-php-ini#3
https://github.com/martinhaunschmid/CVE-2024-52301-Research
https://ogma.in/exploring-cve-2024-52301-environment-manipulation-vulnerability-in-laravel

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: