Krytyczna luka w Scramble umożliwiająca wykonanie złośliwego kodu PHP w Laravel

Krytyczna luka w Scramble (0.13.2-0.13.21) umożliwia wykonanie złośliwego kodu PHP podczas generowania dokumentacji API w Laravel. Aktualizuj do 0.13.22.
CVE-2026-44262CVSS 9.4Web

Krytyczna luka w Scramble umożliwiająca wykonanie złośliwego kodu PHP w Laravel

Krytyczna luka w Scramble (0.13.2-0.13.21) umożliwia wykonanie złośliwego kodu PHP podczas generowania dokumentacji API w Laravel. Aktualizuj do 0.13.22.

CVSS
9.4 CRITICAL
EPSS
92.3%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W wersjach Scramble od 0.13.2 do przed 0.13.22, gdy publicznie dostępne są endpointy dokumentacji i reguły walidacji odwołują się do danych kontrolowanych przez użytkownika, możliwe jest wykonanie dowolnego kodu PHP podczas generowania dokumentacji. Luka ta została załatana w wersji 0.13.22.

Wpływ biznesowy

Luka ta pozwala atakującemu na wykonanie złośliwego kodu PHP w kontekście aplikacji Laravel, co może prowadzić do przejęcia kontroli nad systemem, wycieku danych lub dalszych ataków. Organizacje korzystające z podatnych wersji Scramble narażają się na poważne zagrożenia bezpieczeństwa, zwłaszcza jeśli endpointy dokumentacji są publicznie dostępne.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Scramble do wersji 0.13.22 lub nowszej. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do endpointów dokumentacji oraz dokładnie przeanalizować reguły walidacji pod kątem odwołań do danych użytkownika. Dodatkowo warto przejrzeć logi pod kątem podejrzanej aktywności i priorytetyzować działania naprawcze.

Źródła