「Laravel」に動作環境を変更される脆弱性 - CNAとCISAで異なる評価

ウェブアプリケーションフレームワーク「Laravel」に脆弱性「CVE-2024-52301」が明らかになった。アップデートが提供されている。

「PHP」の特定構成において、悪意のあるユーザーが特定のクエリを用いることで、フレームワークがリクエストの処理に使用する環境を変更することが可能となる「CVE-2024-52301」が明らかとなったもの。

CVE番号を採番したGitHubでは、悪用に権限を必要とせず、完全性に影響を及ぼすとし、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「8.7」、重要度を「高（High）」とレーティングした。

ただし、米サイバーセキュリティインフラストラクチャセキュリティ庁（CISA）は、機密性、完全性、可用性への影響がないと判断し、「CVSSv3.1」のスコアを「0.0」、重要度を「なし（None）」としている。米国立標準技術研究所（NIST）の脆弱性データベース「NVD」による評価は現段階で示されていない。

開発チームは、「Laravel 11.31.0」「同10.48.23」「同9.52.17」「同8.83.28」「同7.30.7」「同6.20.45」にて脆弱性を解消した。

（Security NEXT - 2024/11/18 ） ツイート

PR

関連記事

「Apache Airflow」に情報漏洩の脆弱性 - アップデートで修正
ランサム被害で情報流出を確認、生産や納期に影響なし - トンボ飲料
「BIND 9」にサービス拒否の脆弱性 - 権威、リゾルバに影響
JR九州グループ会社にサイバー攻撃 - 従業員情報流出の可能性
米当局、Ciscoのコミュニケーション製品の脆弱性悪用に注意喚起
「Cisco Unified Communications」に深刻なRCE脆弱性 - 攻撃試行も確認
Oracle、四半期パッチで脆弱性337件を修正 - CVSS 9以上が27件
予約管理システムから個人情報流出の可能性 - ダイワロイネットホテルズ
誤送信やSNS投稿など個人情報関連事故を公表 - 日本小児理学療法学会
寄付金申請サービス侵害、第三者が管理者権限を不正利用 - CAC