آسیب پذیری لاراول

آسیب‌ پذیری لاراول | فریب سیستم احراز هویت لاراول توسط مهاجم

به نقل از مرکز ماهر یک آسیب‌ پذیری مهم با درجه خطر 9.8 در لاراول 5.1 کشف شده است که مهاجم می‌تواند مرحله احراز هویت را به طور کامل انجام ندهد و کدها یا اسکریپت مورد نظر خود را بر روی سرویس میزبان اجرا نماید.

وجود آسیب‌پذیری بحرانی با شناسه CVE-2022-34943 و شدت خطر CVSSv3 9.8 در فریمورک Laravel شناسایی شده است که در صورت سوء استفاده موفق مهاجم احراز هویت نشده راه دور می‌تواند کد یا اسکریپت مورد نظر خود را بر روی سرویس دهنده آسیب‌پذیر اجرا نماید و از آن سو‌استفاده نماید.

لازم به ذکر است این آسیب‌پذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته است و پیلود مربوطه به قیمت 5 هزار دلار به فروش می‌رسد.

پیلود : بسته‌ای از داده‌ها ‌می‌باشد، که به وسیله یک بد افزار و شبکه‌های آسیب دیده منتقل می‌شود که هدف آن انتقال داده‌ها و اطلاعات کاربران می‌باشد.

آسیب پذیری مذکور مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی می‌‌گردد و کاربر می‌تواند برای سو استفاده از سرویس میزبان از این آسیب‌پذیری لاراول بهره بگیرد.

سپس مهاجم را قادر می‌سازد تا کد مورد نظر خود را بر روی سرویس دهنده اجرا نماید که پیامد های مخرب آتی را به دنبال خواهد داشت.

بیشتر بدانید : آسیب‌پذیری Apache

نسخه‌های آسیب‌پذیر
لاراول نسخه 5.1 تحت تاثیر این آسیب پذیری قرار میگیرد که برای حل مشکل این آسیب‌پذیری راه حلی در ادامه مطلب ارائه می‌گردد.

راه‌حل آسیب پذیری لاراول
به دلیل وجود این آسیب پذیری تنها در نسخه 5.1 فریمورک لاراول ، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و به‌روز‌رسانی اقدام کنند تا در مقابل این آسیب پذیری محفوظ بمانند.

لاراول نسخه 9 در مورخه 18 اسفند 1400 منتشر شده و جدیدترین نسخه موجود می‌باشد که بسیاری از موارد امنیتی در این نسخه لحاظ گردیده است و نحوه به‌روز‌رسانی به نسخه‌های مختلف در وب سایت رسمی لاراول توضیح داده شده است.

منبع خبر : https://cve.report/CVE-2022-34943