Уязвимость BDU:2025-02575

Уязвимость BDU:2025-02575

Идентификатор: BDU:2025-02575.

Наименование уязвимости: Уязвимость режима Debug Mode PHP-фреймворка Laravel, позволяющая нарушителю проводить межсайтовые сценарные атаки.

Описание уязвимости: Уязвимость режима Debug Mode PHP-фреймворка Laravel связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки
Уязвимое ПО: Прикладное ПО информационных систем Taylor Otwell Laravel от 11.9.0 до 11.36.0 |

Наименование ОС и тип аппаратной платформы:
Дата выявления: 28.11.2024.
CVSS 2.0: AV:N/AC:H/Au:N/C:C/I:C/A:N
Уровень опасности уязвимости: Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 7,1)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 8)

Возможные меры по устранению:
Использование рекомендаций:
https://github.com/laravel/framework/releases/tag/v11.36.0

Компенсирующие меры:
В случае невозможности установить обновления рекомендуется отключить режим debug mode, установив конфигурацию APP_DEBUG со значением false:
APP_DEBUG=false
.
Статус уязвимости: Подтверждена производителем
Наличие эксплойта: Существует в открытом доступе
Информация об устранении: Уязвимость устранена
Идентификаторы других систем описаний уязвимости: CVE-2024-13919.

Тип ошибки CWE:
Ссылки на источники:
cайт ФАУ «ГНИИИ ПТЗИ ФСТЭК России».
http://www.openwall.com/lists/oss-security/2025/03/10/4
https://github.com/laravel/framework/pull/53869
https://github.com/laravel/framework/releases/tag/v11.36.0
https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-02_Laravel_Reflected_XSS_via_Route_Parameter_in_Debug-Mode_Error_Page

ФСТЭК России
Автор: ФСТЭК России
Аккаунт для добавления уязвимостей с банка данных угроз безопасности информации ФСТЭК России. Не является оф. аккаунтом ФСТЭК России.
Комментарии: