شناسایی یک صدمه پذیری بحرانی
به گزارش سئو مئو، کارشناسان از شناسایی یک صدمه پذیری بحرانی اطلاع داده اند که درصورت سو استفاده موفق، مهاجم احراز هویت نشده از راه دور می تواند کد مورد نظر خویش را برروی سرویس دهنده صدمه پذیر اجرا نماید.
به گزارش سئو مئو به نقل از ایسنا، مرکز مدیریت امداد و هماهنگی عملیات رخدادهای کامپیوتری وجود صدمه پذیری بحرانی را با شناسه CVE-۲۰۲۲-۳۴۹۴۳ و شدت خطر CVSSv۳ ۹.۸ در فریمورک Laravel اعلام نموده که درصورت سوءاستفاده موفق مهاجم احراز هویت نشده، از راه دور می تواند کد دلخواه خویش را بر روی سرویس دهنده صدمه پذیر اجرا نماید. لازم به ذکر است این صدمه پذیری به طور گسترده در اینترنت مورد سواستفاده قرار گرفته و پیلود مربوطه به قیمت ۵ هزار دلار به فروش می رسد.
صدمه پذیری بیان شده در ارتباط با یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی می شود. سپس مهاجم را قادر می کند تا کد مورد نظر خویش را برروی سرویس دهنده اجرا نماید که نتایج مخرب آتی را به دنبال خواهد داشت.
همچنین لاراول نسخه ۵.۱ تحت تاثیر این صدمه پذیری قرار می گیرد، ازاین رو به علت وجود این صدمه پذیری تنها در نسخه ۵.۱ فریمورک لاراول، کارشناسان امنیتی می توانند سریعا نسبت به تغییر نسخه مورد استفاده و بروزرسانی اقدام نمایند. لاراول نسخه ۹ در تاریخ ۱۸ اسفند ۱۴۰۰ انتشار یافته و جدید ترین نسخه موجود است که خیلی از موارد امنیتی در این نسخه لحاظ شده و نحوه بروزرسانی به نسخه های مختلف در وبسایت رسمی لاراول توضیح داده شده است.