Критична вразливість виконання коду в Scramble для Laravel (CVE-2026-44262)

Вразливість у Scramble (0.13.2-0.13.21) дозволяє виконувати довільний PHP-код. Оновіть до 0.13.22 для захисту API-документації Laravel.
CVE-2026-44262CVSS 9.4Web

Критична вразливість виконання коду в Scramble для Laravel (CVE-2026-44262)

Вразливість у Scramble (0.13.2-0.13.21) дозволяє виконувати довільний PHP-код. Оновіть до 0.13.22 для захисту API-документації Laravel.

CVSS
9.4 CRITICAL
EPSS
92.3%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У версіях Scramble від 0.13.2 до 0.13.21, при публічному доступі до кінцевих точок документації та використанні правил валідації, що посилаються на керовані користувачем дані, можливе виконання довільного PHP-коду в контексті додатку. Вразливість усунена у версії 0.13.22.

Бізнес-вплив

Ця критична вразливість може дозволити зловмисникам виконувати довільний код на сервері, що призводить до компрометації додатку та потенційного доступу до конфіденційних даних. Власники інфраструктури, які використовують Scramble для генерації API-документації Laravel, повинні розглянути ризики несанкціонованого доступу та можливих атак через публічні кінцеві точки.

Рекомендовані дії адміністратора

Рекомендується негайно оновити Scramble до версії 0.13.22 або новішої. Якщо оновлення неможливе, слід обмежити публічний доступ до кінцевих точок документації, перевірити правила валідації на використання користувацьких даних та провести аудит логів на наявність підозрілої активності. Пріоритетно впроваджувати заходи з мінімізації впливу та моніторингу.

Джерела