CVE-2024-29291

Versões 8 a 11 do Laravel Framework

Uma falha no Laravel Framework pode permitir que um invasor remoto descubra credenciais de banco de dados no arquivo storage/logs/laravel.log. Isso se deve à proteção insuficiente de dados confidenciais durante o manuseio do arquivo laravel.log. A exploração dessa vulnerabilidade pode permitir que um invasor obtenha acesso não autorizado a informações protegidas. Observa-se que o proprietário de uma instalação do Laravel Framework pode optar por manter logs de depuração, mas precisa definir o controle de acesso adequadamente para o tipo de dados que podem ser registrados.

Para as versões 8 a 11 do Laravel Framework, considere restringir o acesso ao arquivo storage/logs/laravel.log para minimizar o risco de exploração. Como solução temporária, revise e ajuste a configuração de registro para impedir que dados confidenciais sejam registrados. Certifique-se de que o controle de acesso adequado esteja definido para o tipo de dados que podem ser registrados. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.