Vulnérabilité d’exécution de code à distance dans Laravel

Origine: bjCSIRT

Numéro: 2021/ALERTE/037

Date de l’alerte: 30/08/2021

APERÇU :

Une vulnérabilité critique d’exécution de code à distance sur Laravel a été découverte en novembre 2020 et est aujourd’hui activement exploitée. Elle permettrait à une personne malveillante de compromettre le serveur sur lequel la version vulnérable de Laravel est installée.

DESCRIPTION :

Libellée CVE-2021-3129, elle est une vulnérabilité qui permettrait l’exécution de code à distance dans les versions de Laravel inférieures à 8.4.2.

Laravel est un framework très populaire de développement d’application Web basé sur le langage PHP. Dans ses versions inférieures à 8.4.2, le framework embarque un générateur de pages d’erreurs appelé Ignition (Ignition <= 2.5.1). Ce générateur de pages d’erreurs, utilisé dans beaucoup d’autres framework, donne un aperçu bien détaillé sur chaque erreur en mode débogage. Les solutions d’erreurs exposées par Ignition permettent au développeur d’injecter des extraits de code pour faciliter le débogage.  La vulnérabilité profite des solutions d’erreurs exposées par Ignition pour écrire et lire dans des fichiers, de même qu’exécuter des commandes systèmes.

Un attaquant pourrait concevoir une charge spécifique pour compromettre le serveur sur lequel est déployé l’application.

IMPACT :

  • Corruption de système
  • Exécution de code à distance

SYSTEMES AFFECTÉS :

Laravel, les versions inférieures à 8.4.2

MESURES À PRENDRE :

Il est fortement recommandé de mettre à jour les versions de Laravel, et de désactiver le mode débogage après déploiement.

REFERENCES :

  • https://www.ambionics.io/blog/laravel-debug-rce
  • https://isc.sans.edu/forums/diary/Laravel+v842+exploit+attempts+for+CVE20213129+debug+mode+Remote+code+execution/27758/
  • https://github.com/ambionics/laravel-exploits
Partagez sur vos réseaux.