PT-2022-8311 · Unknown · Laravel Framework
Publicado
2022-05-14
·
Atualizado
2024-11-26
·
CVE-2019-9081
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Laravel Framework versão 5.7.x
Descrição
Existe uma vulnerabilidade de deserialização no componente Illuminate do Laravel Framework, que pode levar à execução remota de código se o conteúdo for controlável. Este problema está relacionado ao método
destruct da classe PendingCommand em PendingCommand.php. A vulnerabilidade já foi explorada na prática, tendo sido descoberto um malware híbrido de cryptojacking, apelidado de “Lucifer”.Recomendações
Para o Laravel Framework versão 5.7.x, considere atualizar para uma versão mais recente que inclua uma correção para este problema, já que não há solução alternativa específica disponível para esta versão. Como solução alternativa temporária, considere restringir o acesso à classe
PendingCommand para minimizar o risco de exploração.Exploit
Correção
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Laravel Framework