BDU:2024-03797

Опубликовано: 19 мар. 2024

Источник: fstec

CVSS3: 3.5

CVSS2: 4

EPSS Низкий

Описание

Уязвимость PHP-фреймворка Laravel связана с недостаточной защитой служебных данных при обработке файла laravel.log (storage/logs/laravel.log). Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Вендор

Taylor Otwell

Наименование ПО

Laravel

Версия ПО

от 8.0.0 до 11.7.0 включительно (Laravel)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 4)

Низкий уровень опасности (базовая оценка CVSS 3.1 составляет 3,5)

Возможные меры по устранению уязвимости

Компенсирующие меры:

- ограничение доступа к файлу laravel.log директории storage/logs (Более подробная информация указана в бюллетене:

https://laravel.com/docs/11.x/filesystem#the-public-disk);

- использование средств обнаружения и предотвращения вторжений для отслеживания индикаторов компрометации;

- использование антивирусных средств защиты для отслеживания средств эксплуатации уязвимостей;

Статус уязвимости

Потенциальная уязвимость

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Информация об устранении отсутствует

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2024-29291
CVE

EPSS

Процентиль: 91%

0.07587

Низкий

3.5 Low

CVSS3

4 Medium

CVSS2

Связанные уязвимости

CVE-2024-29291

nvd

около 1 года назад

An issue in Laravel Framework 8 through 11 might allow a remote attacker to discover database credentials in storage/logs/laravel.log. NOTE: this is disputed by multiple third parties because the owner of a Laravel Framework installation can choose to have debugging logs, but needs to set the access control appropriately for the type of data that may be logged.

GHSA-g8vg-q9j5-3vf5

github