یک آسیبپذیری جدید در فریمورک Laravel کشف شده است که مهاجم میتواند کد دلخواه خود را روی فریمورک سرویسدهنده اجرا کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، یک آسیبپذیری بحرانی با شناسه CVE-۲۰۲۲-۳۴۹۴۳ و شدت خطر CVSSv۳ ۹.۸ در فریمورک Laravel کشف شده است که در صورت سوءاستفاده موفق مهاجم احراز هویت نشده راه دور میتواند کد دلخواه خود را روی فریمورک سرویسدهنده آسیبپذیر اجرا کند. لازم به ذکر است این آسیبپذیری به صورت گسترده در اینترنت مورد سوء استفاده قرار گرفته است و پیلود مربوطه به قیمت ۵ هزار دلار به فروش میرسد.
آسیب پذیری مذکور مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی میشود، سپس مهاجم را قادر میسازد تا کد مورد نظر خود را بر روی سرویسدهنده اجرا نماید که پیامدهای مخرب آتی را به دنبال خواهد داشت.
نسخههای آسیبپذیر
لاراول نسخه ۵.۱ تحت تأثیر این آسیبپذیری قرار میگیرد.
راهحل
به دلیل وجود این آسیبپذیری تنها در نسخه ۵.۱ فریمورک لاراول، کارشناسان امنیتی میتوانند به سرعت نسبت به تغییر نسخه مورد استفاده و بهروز رسانی اقدام کنند. لاراول نسخه ۹ در مورخه ۱۸ اسفند ۱۴۰۰ منتشر شده و جدیدترین نسخه موجود است که بسیاری از موارد امنیتی در این نسخه لحاظ شده است و نحوه بهروزرسانی به نسخههای مختلف در وب سایت رسمی لاراول توضیح داده شده است.
دریافت صفحه با کد QR