Una vulnerabilidad crítica recientemente descubierta (CVE-2024-52301) en el marco de Laravel ha conmocionado a la comunidad de desarrollo web.
Esta falla de seguridad podría permitir que atacantes malintencionados obtengan acceso no autorizado a aplicaciones basadas en Laravel, lo que genera preocupaciones sobre la seguridad de los datos y la integridad del sistema.
CVE-2024-52301 se debe al manejo por parte de Laravel de los datos proporcionados por el usuario en ciertos escenarios.
Esta vulnerabilidad es particularmente peligrosa cuando se combina con ciertas configuraciones de PHP, particularmente la directiva Register_argc_argv.
Además de esto, los investigadores de SecurityHive descubrieron que si esta directiva está activada, un atacante puede manipular la cadena de consulta de URL para cambiar el entorno utilizado por el marco durante el procesamiento de solicitudes que descubrí.
Esta vulnerabilidad afecta a múltiples versiones de Laravel, incluidas:
6.20.45 y versiones anteriores 7.0.0 y 7.30.7 y versiones anteriores 8.0.0 y 8.83.28 y versiones anteriores 9.0.0 y 9.52.17 y versiones anteriores 10.0.0 y 10.48.23 y versiones anteriores 11.0.0 y a continuación Versiones a continuación 11.31.0
Guía gratuita definitiva de supervisión continua de la seguridad: descárguela aquí (PDF)
explotación
La explotación de CVE-2024-52301 puede tener graves consecuencias, entre ellas:
Acceso no autorizado a datos confidenciales Escalada de privilegios dentro de los sistemas afectados Alteración o manipulación de datos Potencial de un mayor compromiso del sistema
Dada la popularidad de Laravel en el desarrollo de aplicaciones web, el alcance de esta vulnerabilidad es de gran alcance y podría afectar potencialmente a innumerables sitios web y servicios web en todo el mundo.
Laravel respondió rápidamente a esta amenaza lanzando un parche de seguridad. El marco ahora ignora los valores argv detectados por el entorno en SAPI que no son CLI, lo que resuelve efectivamente la vulnerabilidad.
He mencionado el perfil de defectos a continuación: –
ID de CVE: CVE-2024-52301 Gravedad: Alta Puntuación CVSS: 8,7 Vector de ataque: Ataque de red Complejidad: Baja Puntuación EPSS: 0,043 % (percentil 10)
Recomendamos encarecidamente que los desarrolladores y administradores de sistemas actualicen sus instalaciones de Laravel a la última versión segura de inmediato.
Para protegerse contra vulnerabilidades similares en el futuro, los desarrolladores deberían:
Actualice periódicamente todos los componentes de software, incluidos los marcos y las bibliotecas. Implemente una estricta validación y desinfección de las entradas. Revise y refuerce las configuraciones de PHP y desactive las funciones innecesarias. Herramientas continuas de escaneo y monitoreo de vulnerabilidades. Fomente una cultura que priorice la seguridad dentro de su equipo de desarrollo.
El descubrimiento de CVE-2024-52301 es un claro recordatorio de los siempre presentes desafíos de seguridad en el desarrollo web.
Aunque Laravel ha proporcionado una solución, este incidente resalta la importancia crítica de mantenerse alerta, mantener el software actualizado y seguir las mejores prácticas de seguridad.
A medida que evoluciona el entorno digital, también debe evolucionar el enfoque para proteger las aplicaciones web y los datos confidenciales que manejan.
Análisis GRATUITO ILIMITADO de phishing y malware con ANY.RUN: prueba gratuita de 14 días.
