Angreifer können an mehreren Schwachstellen im Open-Source-PHP-Paket Voyager zum Verwalten von Laravel-Anwendungen ansetzen und im schlimmsten Fall Schadcode ausführen. Sicherheitsupdates gibt es bislang nicht.
Anzeige
Voyager ist ein Admin-Interface für mit Laravel erstelle Apps. Darüber können Entwickler unter anderem Menüs für ihre Anwendungen erstellen. Den Angaben der offiziellen Website zufolge, wurde Voyager bislang mehr als 2,3 Millionen Mal heruntergeladen.
Sicherheitsforscher von Sonar sind insgesamt auf drei Lücken (CVE-2024-55415, CVE-2024-55416, CVE-2024-55417) gestoßen, für die eine Einstufung des Bedrohungsgrads offensichtlich noch aussteht. Angreifer können unter anderem die Überprüfung beim Hochladen von Dateien umgehen, um eigenen Code auf Servern auszuführen. Bringen sie einen Admin dazu, auf einen präparierten Link zu klicken, kann ebenfalls Schadcode auf Systeme gelangen und diese komprimieren.
In einem Beitrag geben die Forscher an, die Entwickler mehrmals kontaktiert zu haben, aber bislang keine Antwort erhalten zu haben. Softwareentwickler, die Voyager nutzen, sind demzufolge angreifbar. Ob es bereits Attacken gibt, ist zurzeit nicht bekannt.
Nach dem Verstreichen der 90-tägigen Responsible-Disclosure-Frist haben die Sicherheitsforscher nun Details zum Sicherheitsrisiko veröffentlicht. In ihrem Beitrag beschreiben sie unter anderem Hintergründe zu den Schwachstellen.
Die Forscher empfehlen, das Tool bis zum Erscheinen von Sicherheitspatches nicht zu nutzen. Alternativ können Admins die Zugriffe beschränken und das Ausführen von PHP-Code verbieten. Das ist aber nur ein temporärer Schutz, der keine vollständige Sicherheit bietet.
(
Kommentare