CVE-2021-21979

Versões do contêiner Laravel anteriores à 6.20.0-debian-10-r107 para o Laravel 6

Versões do contêiner Laravel anteriores à 7.30.1-debian-10-r108 para o Laravel 7

Versões do contêiner Laravel anteriores à 8.5.11-debian-10-r0 para o Laravel 8

O problema diz respeito à geração do arquivo /tmp/app/.env nos contêineres Bitnami, onde o valor de APP KEY é fixo sob certas condições. Esse valor é crucial para a segurança da aplicação e deve ser gerado aleatoriamente a cada instalação. Se a chave de criptografia cair em mãos mal-intencionadas, ela poderá ser usada para criar valores de cookies e explorar vulnerabilidades relacionadas à serialização e desserialização de objetos PHP, como a chamada de métodos de classe arbitrários dentro da aplicação.

Para versões do Laravel 6 anteriores à 6.20.0-debian-10-r107, atualize para a versão 6.20.0-debian-10-r107 ou posterior.

Para versões do Laravel 7 anteriores à 7.30.1-debian-10-r108, atualize para a versão 7.30.1-debian-10-r108 ou posterior.

Para versões do Laravel 8 anteriores à 8.5.11-debian-10-r0, atualize para a versão 8.5.11-debian-10-r0 ou posterior.

Como solução temporária, considere regenerar o valor APP KEY para uma chave aleatória em cada instalação do Laravel afetada até que a versão atualizada seja aplicada.