- Tổng quan và phân tích
Trong hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CMC Telecom Threat Intelligence đã ghi nhận một lỗ hổng bảo mật trong framework Laravel có mã định danh CVE-2024-52301 cho phép kẻ tấn công truy cập trái phép vào hệ thống, leo thang đặc quyền hoặc giả mạo dữ liệu.
Thông tin theo CVSS Score:
Lỗ hổng này xuất hiện khi cấu hình “register_argc_argv” trong PHP được enable. Điều này cho phép kẻ tấn công có thể khai thác bằng cách gửi các URL với chuỗi truy vấn đặc biệt để can thiệp vào các biến môi trường được Laravel sử dụng. Ví dụ các chuỗi truy vấn có thể ghi đè các biến môi trường trong Laravel như thông tin xác thực, cơ sở dữ liệu, mã thông báo xác thực hoặc cài đặt cấu hình.
2. Ảnh hưởng và giảm thiểu rủi ro
| STT | Lỗ hổng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
|
1 |
CVE-2024-52301 |
Các phiên bản laravel/framework < 6.20.45 | 6.20.45 |
| Các phiên bản laravel/framework >= 7.0.0, < 7.30.7 | 7.30.7 | ||
| Các phiên bản Laravel/framework >= 8.0.0, < 8.83.28 | 8.83.28 | ||
| Các phiên bản Laravel/Framework >= 9.0.0, < 9.52.17 | 9.52.17 | ||
| Các phiên bản Laravel/Framework >= 10.0.0, < 10.48.23 | 10.48.23 | ||
| Các phiên bản Laravel/Framework >= 11.0.0, < 11.31.0 |
3. Một số nguồn tham khảo
- https://github.com/advisories/GHSA-gv7v-rgg6-548h
- https://nvd.nist.gov/vuln/detail/CVE-2024-52301
- https://github.com/Nyamort/CVE-2024-52301
