Описание
Ignition before 2.5.2, as used in Laravel and other products, allows unauthenticated remote attackers to execute arbitrary code because of insecure usage of file_get_contents() and file_put_contents(). This is exploitable on sites using debug mode with Laravel before 8.4.2.
Ссылки
- ExploitThird Party AdvisoryVDB Entry
- ExploitThird Party AdvisoryVDB Entry
- PatchThird Party Advisory
- ExploitThird Party Advisory
- ExploitThird Party AdvisoryVDB Entry
- ExploitThird Party AdvisoryVDB Entry
- PatchThird Party Advisory
- ExploitThird Party Advisory
Уязвимые конфигурации
Конфигурация 1Версия до 2.5.2 (исключая)Версия до 8.4.2 (исключая)
Одновременно
cpe:2.3:a:facade:ignition:*:*:*:*:*:laravel:*:*
cpe:2.3:a:laravel:laravel:*:*:*:*:*:*:*:*
EPSS
Процентиль: 100%
0.94287
Критический
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
NVD-CWE-noinfo
Связанные уязвимости
CVSS3: 9.8
github
около 4 лет назад
Unauthenticated remote code execution in Ignition
CVSS3: 9.8
fstec
больше 4 лет назад
Уязвимость реализации функций file_get_contents() и file_put_contents() библиотеки Ignition PHP-фреймворка Laravel, позволяющая нарушителю выполнить произвольный код
EPSS
Процентиль: 100%
0.94287
Критический
9.8 Critical
CVSS3
7.5 High
CVSS2
Дефекты
NVD-CWE-noinfo