آسیب پذیری لاراول | فریب سیستم احراز هویت لاراول توسط مهاجم
به نقل از مرکز ماهر یک آسیب پذیری مهم با درجه خطر ۹٫۸ در لاراول ۵٫۱ کشف شده است که مهاجم میتواند مرحله احراز هویت را به طور کامل انجام ندهد و کدها یا اسکریپت مورد نظر خود را بر روی سرویس میزبان اجرا نماید.
وجود آسیبپذیری بحرانی با شناسه CVE-2022-34943 و شدت خطر CVSSv3 9.8 در فریمورک Laravel شناسایی شده است که در صورت سوء استفاده موفق مهاجم احراز هویت نشده راه دور میتواند کد یا اسکریپت مورد نظر خود را بر روی سرویس دهنده آسیبپذیر اجرا نماید و از آن سواستفاده نماید.
لازم به ذکر است این آسیبپذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته است و پیلود مربوطه به قیمت ۵ هزار دلار به فروش میرسد.
پیلود : بستهای از دادهها میباشد، که به وسیله یک بد افزار و شبکههای آسیب دیده منتقل میشود که هدف آن انتقال دادهها و اطلاعات کاربران میباشد.
آسیب پذیری مذکور مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی میگردد و کاربر میتواند برای سو استفاده از سرویس میزبان از این آسیبپذیری لاراول بهره بگیرد.
سپس مهاجم را قادر میسازد تا کد مورد نظر خود را بر روی سرویس دهنده اجرا نماید که پیامد های مخرب آتی را به دنبال خواهد داشت.
بیشتر بدانید : آسیبپذیری Apache
نسخههای آسیبپذیر
لاراول نسخه ۵٫۱ تحت تاثیر این آسیب پذیری قرار میگیرد که برای حل مشکل این آسیبپذیری راه حلی در ادامه مطلب ارائه میگردد.
راهحل آسیب پذیری لاراول
به دلیل وجود این آسیب پذیری تنها در نسخه ۵٫۱ فریمورک لاراول ، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و بهروزرسانی اقدام کنند تا در مقابل این آسیب پذیری محفوظ بمانند.
لاراول نسخه ۹ در مورخه ۱۸ اسفند ۱۴۰۰ منتشر شده و جدیدترین نسخه موجود میباشد که بسیاری از موارد امنیتی در این نسخه لحاظ گردیده است و نحوه بهروزرسانی به نسخههای مختلف در وب سایت رسمی لاراول توضیح داده شده است.
منبع خبر : https://cve.report/CVE-2022-34943
چقدر عالی که این مطلب رو انتشار دادید، به شخصه خودم یکی از سایتهام با لاراول ۵ اومده بالا و خیلی وقته که تغییرش ندادم و آپدیت نکردم.
از همراهی شما متشکریم دوست ابر آسیاتکی عزیز 🙏🌹
خیلی مفید بود
ممنون👍
ابر آسیاتکی عزیز
با تشکر از همراهی شما