Три уязвимости, открити в PHP пакета с отворен код Voyager за управление на приложения Laravel, могат да бъдат използвани за атаки с отдалечено изпълнение на код.

Проблемите не са отстранени и могат да бъдат използвани срещу автентифициран потребител на Voyager, който кликне върху злонамерена връзка.

Изследователи на уязвимости от SonarSource, компания за качество на кода и сигурност, казват, че са се опитали да докладват за недостатъците на поддържащите Voyager, но не са получили отговор в рамките на 90-дневния срок, който компанията предоставя съгласно своята политика за разкриване на уязвимости.

Подробности за уязвимостта

Екипът на SonarQube Cloud откри първата уязвимост във Voyager – запис на произволен файл – по време на рутинните си сканирания. При по-внимателно разглеждане на проекта те откриха допълнителни проблеми със сигурността, които могат да бъдат комбинирани, за да се извършат атаки с едно кликване за отдалечено изпълнение на код върху достижими инстанции на Voyager.

Трите недостатъка се обобщават, както следва:

• CVE-2024-55417 – Функцията за качване на медии на Voyager позволява на атакуващите да качват злонамерени файлове, като заобикалят проверката на типа MIME. Чрез създаване на полиглотен файл, който изглежда като изображение или видео, но съдържа изпълним PHP код, нападателят може да постигне отдалечено изпълнение на код, ако файлът се обработва на сървъра.
• CVE-2024-55416 – Крайната точка /admin/compass във Voyager неправилно обработва потребителския вход, което позволява на нападателите да инжектират JavaScript в изскачащи съобщения. Ако автентифициран администратор щракне върху злонамерена връзка, скриптът се изпълнява в неговия браузър, което потенциално позволява на атакуващите да извършват действия от негово име, включително ескалация до отдалечено изпълнение на код.
• CVE-2024-55415 – Дефект в системата за управление на файлове позволява на атакуващите да манипулират пътищата към файловете и да изтриват или да получават достъп до произволни файлове в сървъра. Използвайки това, нападателите могат да нарушат услугите, да изтрият критични файлове или да извлекат чувствителна информация.

Според изследователите на SonarQube Cloud те са докладвали трите проблема на поддържащите Voyager по имейл и в GitHub от 11 септември 2024 г., но не са получили никаква обратна връзка.

В 90-дневния период на разкриване на проблемите те са се опитали многократно да получат отговор и да информират, че датата за публично разкриване на проблемите наближава.

Изследователите казват, че на 28 ноември са отворили и доклад за сигурността чрез GitHub и че са уведомили поддържащите Voyager, че 90-дневният прозорец за разкриване е изтекъл и те са на път да споделят техническите подробности публично.

Въздействие и препоръки

Voyager се използва предимно от разработчици на Laravel, които се нуждаят от предварително изграден административен панел, за да управляват своите приложения.

Типичните потребители са компании за уеб разработки, стартиращи фирми, разработчици на свободна практика, любители на Laravel и като цяло малки и средни предприятия, които използват Laravel за вътрешни инструменти или CMS-базирани приложения.

Проектът Voyager е изключително популярен, тъй като е бил разклоняван 2700 пъти в GitHub, получил е повече от 11 800 звезди и наброява милиони изтегляния.

Като се има предвид, че трите недостатъка, открити от SonarQube, остават непоправени, потребителите на Voyager трябва да обмислят ограничаване на достъпа само до доверени потребители, ограничаване на разрешенията „browse_media“, за да се предотврати неоторизирано качване на файлове, и използване на контрол на достъпа, базиран на роли (RBAC), за да се сведе до минимум излагането на риск.

Мерките за сигурност на ниво сървър включват деактивиране на изпълнението на PHP файлове, използване на стриктно валидиране на типа MIME за отхвърляне на полиглотни файлове и редовно наблюдение на дневниците за необичайни дейности по качване на файлове или достъп.

Ако сигурността е от критично значение, избягвайте да използвате Voyager в производствени среди, докато не излязат официалните пачове, или помислете за миграция към друг административен панел на Laravel.