Уязвимость BDU:2025-00521

Уязвимость BDU:2025-00521

Идентификатор: BDU:2025-00521.

Наименование уязвимости: Уязвимость функции remember() инструмента для мониторинга производительности и анализа использования приложений Laravel Pulse, позволяющая нарушителю выполнить произвольный код.

Описание уязвимости: Уязвимость функции remember() инструмента для мониторинга производительности и анализа использования приложений Laravel Pulse связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Уязвимое ПО: Прикладное ПО информационных систем Taylor Otwell Laravel Pulse до 1.3.1 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 12.10.2024.
CVSS 2.0: AV:N/AC:L/Au:N/C:C/I:C/A:C
Уровень опасности уязвимости: Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8,8)
Критический уровень опасности (базовая оценка CVSS 4.0 составляет 9,3)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/laravel/pulse/commit/d1a5bf2eca36c6e3bedb4ceecd45df7d002a1ebc
https://github.com/laravel/pulse/security/advisories/GHSA-8vwh-pr89-4mw2
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Данные уточняются
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-55661.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
https://github.com/laravel/pulse/commit/d1a5bf2eca36c6e3bedb4ceecd45df7d002a1ebc
https://github.com/laravel/pulse/security/advisories/GHSA-8vwh-pr89-4mw2

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: