هشدار مرکز ماهر: آسیبپذیری بحرانی در کمین کاربران است
ایتنا - کارشناسان از شناسایی یک آسیب پذیری بحرانی خبر دادهاند که درصورت سوءاستفاده موفق، مهاجم احراز هویت نشده از راه دور میتواند کد مورد نظر خود را برروی سرویسدهنده آسیبپذیر اجرا کند.
مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای وجود آسیبپذیری بحرانی را با شناسه CVE-۲۰۲۲-۳۴۹۴۳ و شدت خطر CVSSv۳ ۹.۸ در فریمورک Laravel اعلام کرده که درصورت سوءاستفاده موفق مهاجم احراز هویت نشده، از راه دور میتواند کد دلخواه خود را بر روی سرویس دهنده آسیبپذیر اجرا کند. لازم به ذکر است این آسیبپذیری به صورت گسترده در اینترنت مورد سواستفاده قرار گرفته و پیلود مربوطه به قیمت ۵ هزار دلار به فروش میرسد.
به گزارش ایتنا از ایسنا، آسیب پذیری بیان شده مربوط به یکی از توابع کمکی لاراول به نام ChanceGenerator هست که استفاده موفق از این ضعف منجر به افزایش سطح دسترسی میشود. سپس مهاجم را قادر میکند تا کد مورد نظر خود را برروی سرویس دهنده اجرا کند که پیامدهای مخرب آتی را به دنبال خواهد داشت.
همچنین لاراول نسخه ۵.۱ تحت تأثیر این آسیب پذیری قرار میگیرد، بنابراین به دلیل وجود این آسیب پذیری تنها در نسخه ۵.۱ فریمورک لاراول، کارشناسان امنیتی میتوانند سریعا نسبت به تغییر نسخه مورد استفاده و بهروزرسانی اقدام کنند. لاراول نسخه ۹ در تاریخ ۱۸ اسفند ۱۴۰۰ منتشر شده و جدیدترین نسخه موجود است که بسیاری از موارد امنیتی در این نسخه لحاظ شده و نحوه بهروزرسانی به نسخههای مختلف در وب سایت رسمی لاراول توضیح داده شده است.