PT-2021-4652 · Ignition+1 · Ignition+1
Abergmann
·
Publicado
2021-01-12
·
Atualizado
2026-03-01
·
CVE-2021-3129
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Laravel anteriores à 8.4.2
Versões do Ignition anteriores à 2.5.2
Descrição
O problema está relacionado ao uso inseguro das funções
file get contents() e file put contents() na biblioteca Ignition utilizada pelo Laravel. Isso permite que invasores remotos não autenticados executem código arbitrário quando o modo de depuração está ativado. A vulnerabilidade pode ser explorada em sites que utilizam o Laravel em versões anteriores à 8.4.2. Foi relatado que este problema está sendo ativamente explorado, com invasores visando serviços de modelos de linguagem de grande porte hospedados na nuvem, utilizando credenciais de nuvem roubadas.Recomendações
Para versões do Laravel anteriores à 8.4.2, atualize para a versão 8.4.2 ou posterior para resolver o problema.
Para versões do Ignition anteriores à 2.5.2, atualize para a versão 2.5.2 ou posterior para resolver o problema.
Como solução temporária, considere desativar o modo de depuração no Laravel até que um patch seja aplicado.
Restrinja o acesso ao módulo Ignition para minimizar o risco de exploração.
Exploit
Correção
Code Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Ignition
Laravel