Origine : bjCSIRT

Numéro : 2025/ALERTE/026

Date de l’alerte : 19/03/2025

APERÇU :

Plusieurs vulnérabilités ont été découvertes dans le framework Laravel, permettant à un acteur malveillant d’injecter des scripts dans le navigateur des utilisateurs.

DESCRIPTION :

Laravel est un framework populaire de développement d’applications web basé sur le langage PHP. Il intègre un mode débogage qui fournit des informations détaillées sur les erreurs survenant lors de l’exécution. 

Ce framework est affecté par les vulnérabilités libellées CVE-2024-13918 et CVE-2024-13919 qui permettraient à un acteur malveillant d’injecter du code JavaScript via des paramètres de requêtes, pouvant être exécuté dans le navigateur de l’utilisateur. Ces vulnérabilités résultent d’une mauvaise gestion de l’encodage de la page erreur lorsque le mode débogage est activé. 

Ces vulnérabilités sont classées élevées avec un score de sévérité de 8.0 selon le CVSS v3.1.

IMPACT :

• Exécution de code arbitraire ; 
• Vol de données sensibles des utilisateurs ;  
• Compromission de l’intégrité des systèmes et des données. 

 SYSTÈMES AFFECTÉS : 

Laravel versions comprises entre 11.9.0 et 11.35.1. 

MESURES À PRENDRE :

Mettre à jour Laravel vers la version 11.36.0 ou ultérieure.

RÉFÉRENCES :

• https://nvd.nist.gov/vuln/detail/CVE-2024-13918  
• https://nvd.nist.gov/vuln/detail/CVE-2024-13919 
• https://github.com/advisories/GHSA-546h-56qp-8jmw 
• https://www.sba-research.org/2025/03/10/sba-security-advisory-laravel-reflected-xss-via-request-parameter-in-debug-mode-error-page-cve-2024-13918/