CVE-2024-55661

Versões do Laravel Pulse anteriores à 1.3.1

Foi descoberta uma vulnerabilidade no Laravel Pulse que poderia permitir a execução remota de código por meio do método público remember() na característica LaravelPulseLivewireConcernsRemembersQueries. Esse método é acessível por meio de componentes Livewire e pode ser explorado para chamar callables arbitrários dentro do aplicativo. Um usuário autenticado com acesso ao painel do Laravel Pulse pode executar código arbitrário chamando qualquer função ou método estático que atenda aos seguintes critérios: o callable é uma função ou método estático e não possui parâmetros ou tipos de parâmetros restritos. O componente vulnerável é o método remember(callable $query, string $key = ‘’) em LaravelPulseLivewireConcernsRemembersQueries, e a vulnerabilidade afeta todos os componentes de cartão do Pulse que utilizam essa característica.

Para versões anteriores à 1.3.1, atualize para a versão 1.3.1 ou posterior para resolver o problema. Como solução temporária, considere desativar a função remember() na característica LaravelPulseLivewireConcernsRemembersQueries até que um patch esteja disponível. Restrinja o acesso à característica vulnerável LaravelPulseLivewireConcernsRemembersQueries para minimizar o risco de exploração. Evite usar o método remember() em componentes Livewire até que o problema seja resolvido.