「Laravel」に動作環境を変更される脆弱性 - CNAとCISAで異なる評価
ウェブアプリケーションフレームワーク「Laravel」に脆弱性「CVE-2024-52301」が明らかになった。アップデートが提供されている。
「PHP」の特定構成において、悪意のあるユーザーが特定のクエリを用いることで、フレームワークがリクエストの処理に使用する環境を変更することが可能となる「CVE-2024-52301」が明らかとなったもの。
CVE番号を採番したGitHubでは、悪用に権限を必要とせず、完全性に影響を及ぼすとし、共通脆弱性評価システム「CVSSv4.0」のベーススコアを「8.7」、重要度を「高(High)」とレーティングした。
ただし、米サイバーセキュリティインフラストラクチャセキュリティ庁(CISA)は、機密性、完全性、可用性への影響がないと判断し、「CVSSv3.1」のスコアを「0.0」、重要度を「なし(None)」としている。米国立標準技術研究所(NIST)の脆弱性データベース「NVD」による評価は現段階で示されていない。
開発チームは、「Laravel 11.31.0」「同10.48.23」「同9.52.17」「同8.83.28」「同7.30.7」「同6.20.45」にて脆弱性を解消した。
(Security NEXT - 2024/11/18 )
ツイート
PR
関連記事
国勢調査の調査票が運搬中に強風で飛散 - 統計センター
アプリマーケットの連携アプリ経由で顧客情報流出の可能性 - スマレジ
フィッシング攻撃契機に不正アクセス - アーク東短オルタナティブ
医師が個人情報含む診察室内写真をSNS投稿 - 横浜市医師会
米当局、「Gogs」の脆弱性悪用に注意喚起 - 修正コードが公開
「FortiSIEM」にクリティカル脆弱性 - 未認証RCEのおそれ
Adobe、11製品にセキュリティ更新 - 「クリティカル」脆弱性など修正
地震後の園児帰宅希望募る保護者向けメールで誤送信 - 佐用町
福袋発売の高負荷時にサイバー攻撃 - コスプレ通販サイト
PWリセット製品「ADSelfService Plus」に認証回避の脆弱性
