Vulnérabilité liée à la validation insuffisante des entrées affectant les Framework Symfony et Laravel

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine : bjCSIRT

Numéro : 2024/ALERTE/079

Date de l’alerte : 26/11/2024

APERÇU :

Une vulnérabilité liée à la validation insuffisante des entrées affectant les Framework Symfony et Laravel permettrait à un acteur malveillant de changer le mode d’exécution des applications affectées. 

DESCRIPTION :

Symfony et Laravel sont des framework PHP conçus pour développer des applications web. L’un des composants de Symfony, le module symfony/runtime, joue un rôle clé dans la gestion de l’environnement d’exécution et la configuration de l’application.  

Laravel et le module symfony/runtime de Symphony sont affectés par des vulnérabilités libellées respectivement CVE-2024-50340 et CVE-2024-52301 qui résultent de la directive PHP register_argc_argv   activée dans le fichier php.ini. L’exploitation de ces vulnérabilités permettrait à un acteur malveillant d’injecter des entrées spécialement conçues dans l’URL via les paramètres –env et –no-debug pour changer l’environnement d’exécution des applications.  

Ces vulnérabilités sont classées élevées respectivement avec des scores de sévérité de 7.3 selon le CVSS v3.1 et 8.7 selon le CVSS v4.0. 

IMPACT :

  • Atteinte à l’intégrité du système ;
  • Accès à des données sensibles.  

SYSTÈMES AFFECTÉS : 

  • Les versions de Symfony antérieures à 5.4.46 ;
  • Les versions de Symfony ultérieures à 6.0.0 incluse et antérieures à 6.4.14 ;
  • Les versions de Symfony ultérieures à 7.0.0 incluse et antérieures à 7.1.7 ;
  • Les versions de Laravel antérieures à 6.20.45 ;
  • Les versions de Laravel ultérieures à 7.0.0 et antérieures à 7.30.7 ;
  • Les versions de Laravel ultérieures à 8.0.0 et antérieures à 8.83.28 ;
  • Les versions de Laravel ultérieures à 9.0.0 et antérieures à 9.52.17  ;
  • Les versions de Laravel ultérieures à 10.0.0 et antérieures à 10.48.23 ;
  • Les versions de Laravel ultérieures à 11.0.0 et antérieures à 11.31.0.

MESURES À PRENDRE :

  • Mettre à jour Symfony vers les versions 5.4.46, 6.4.14, 7.1.7 ou ultérieures ; 
  • Appliquer les mises à jour de Laravel sur le site de l’éditeur.  

 

RÉFÉRENCES :

Partagez sur vos réseaux.