Krytyczna luka w Scramble umożliwiająca wykonanie złośliwego kodu PHP w Laravel
Krytyczna luka w Scramble (0.13.2-0.13.21) umożliwia wykonanie złośliwego kodu PHP podczas generowania dokumentacji API w Laravel. Aktualizuj do 0.13.22.
- CVSS
- 9.4 CRITICAL
- EPSS
- 92.3%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W wersjach Scramble od 0.13.2 do przed 0.13.22, gdy publicznie dostępne są endpointy dokumentacji i reguły walidacji odwołują się do danych kontrolowanych przez użytkownika, możliwe jest wykonanie dowolnego kodu PHP podczas generowania dokumentacji. Luka ta została załatana w wersji 0.13.22.
Wpływ biznesowy
Luka ta pozwala atakującemu na wykonanie złośliwego kodu PHP w kontekście aplikacji Laravel, co może prowadzić do przejęcia kontroli nad systemem, wycieku danych lub dalszych ataków. Organizacje korzystające z podatnych wersji Scramble narażają się na poważne zagrożenia bezpieczeństwa, zwłaszcza jeśli endpointy dokumentacji są publicznie dostępne.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Scramble do wersji 0.13.22 lub nowszej. W przypadku braku możliwości aktualizacji, należy ograniczyć dostęp do endpointów dokumentacji oraz dokładnie przeanalizować reguły walidacji pod kątem odwołań do danych użytkownika. Dodatkowo warto przejrzeć logi pod kątem podejrzanej aktywności i priorytetyzować działania naprawcze.