Trys pažeidžiamumai, aptikti atvirojo kodo PHP pakete „Voyager“, skirtas valdyti „Laravel“ programas, galėtų būti naudojamos nuotolinio kodo vykdymo atakoms.
Problemos išlieka neaiškios ir gali būti išnaudotos prieš autentifikuotą „Voyager“ vartotoją, kuris paspaudžia kenkėjišką nuorodą.
Kodekso kokybės ir saugumo bendrovės „Sonarsource“ pažeidžiamumo tyrinėtojai sako, kad jie bandė pranešti apie trūkumus „Voyager“ prižiūrėtojams, tačiau 90 dienų lange, kurį bendrovė pateikia pagal jos pažeidžiamumo atskleidimo politiką, negavo jokio atsakymo.
Pažeidžiamumo detalės
„Sonarque Cloud“ komanda rado pirmąjį „Voyager“ pažeidžiamumą, savavališką failą rašyti, atliekant įprastus nuskaitymus. Pažvelgę į projektą, jie atrado papildomų saugumo problemų, kurias būtų galima sujungti, kad būtų galima paleisti vieno paspaudimo nuotolinio kodo vykdymo atakas pasiekiamose „Voyager“ egzemplioriuose.
Trys trūkumai apibendrinami taip:
- CVE-2024-55417 -„Voyager“ žiniasklaidos įkėlimo funkcija leidžia užpuolikams įkelti kenksmingus failus apeinant MIME tipo patikrinimą. Sukurdamas poliglot failą, kuris pasirodo kaip vaizdas ar vaizdo įrašas, tačiau jame yra vykdomojo PHP kodas, užpuolikas gali pasiekti nuotolinio kodo vykdymą, jei failas apdorojamas serveryje.
- CVE-2024-55416 – /administratoriaus /kompaso baigtis „Voyager“ netinkamai dezinfekuoja vartotojo įvestį, leisdamas užpuolikams įšvirkšti „JavaScript“ į iššokančiuosius pranešimus. Jei autentifikuotas administratorius paspaudžia kenkėjišką nuorodą, scenarijus vykdo jų naršyklėje, potencialiai leisdamas užpuolikams atlikti veiksmus jų vardu, įskaitant eskalavimą nuo nuotolinio kodo vykdymo.
- CVE-2024-55415 – Failų valdymo sistemos trūkumas leidžia užpuolikams manipuliuoti failų keliais ir ištrinti ar pasiekti savavališkus failus serveryje. Išnaudodami tai, užpuolikai gali sutrikdyti paslaugas, ištrinti kritinius failus arba išgauti neskelbtiną informaciją.
https://www.youtube.com/watch?v=kvqm5yj7fnw
Anot „Sonarque Cloud“ tyrėjų, jie pranešė apie tris numerius „Voyager“ prižiūrėtojams dėl el. Pašto ir „GitHub“ nuo 2024 m. Rugsėjo 11 d., Tačiau negavo jokio ryšio.
90 dienų atskleidimo laikotarpiu jie kelis kartus bandė gauti atsakymą ir informuoti, kad artėja viešosios informacijos atskleidimo data.
Tyrėjai sako, kad lapkričio 28 d. Jie taip pat atidarė saugumo ataskaitą per „GitHub“ ir kad jie pranešė „Voyager“ prižiūrėtojams, kad pasibaigė 90 dienų atskleidimo langas ir jie ruošėsi viešai pasidalyti technine informacija.
Poveikis ir rekomendacijos
„Voyager“ pirmiausia naudoja „Laravel“ kūrėjai, kuriems reikalingas iš anksto pastatytas administratoriaus skydelis, kad galėtų valdyti savo programas.
Tipiški vartotojai yra interneto svetainių kūrimo įmonės, pradedančios įmonės, laisvai samdomi kūrėjai, „Laravel“ mėgėjai ir paprastai mažos ir vidutinės įmonės, naudojančios „Laravel“ vidinėms priemonėms ar CMS pagrįstoms programoms.
„Voyager“ projektas yra labai populiarus, nes „GitHub“ buvo šakinis 2700 kartų, gavo daugiau nei 11 800 žvaigždučių ir skaičiuoja milijonus atsisiuntimų.
Atsižvelgiant į tai, kad trys „Sonarque“ trūkumai liko nepaliesta, „Voyager“ vartotojai turėtų apsvarstyti galimybę apriboti prieigą prie patikimų vartotojų, apriboti „BroWSE_Media“ leidimus, kad būtų išvengta neteisėto failų įkėlimo, ir naudojant vaidmenis pagrįstą prieigos valdymą (RBAC), kad būtų sumažinta ekspozicija.
Serverio lygio saugos priemonės apima PHP failų vykdymo išjungimą, griežto MIME tipo patvirtinimo naudojimą, kad būtų galima atmesti poliglot failus, ir reguliariai stebėti žurnalus, kad būtų neįprasta failų įkėlimo ar prieigos veikla.
Jei saugumas yra kritinis, venkite „Voyager“ gamybos aplinkoje, kol nebus oficialūs pataisos, arba apsvarstykite galimybę perkelti į kitą „Laravel“ administratoriaus skydą.
