CVE-2024-55556

Crater Invoice (versões afetadas não especificadas)

Uma vulnerabilidade no Crater Invoice permite que um invasor não autenticado, com conhecimento da APP KEY, execute comandos remotamente no servidor manipulando o cookie laravel session, explorando a deserialização arbitrária por meio dos dados criptografados da sessão. O vetor de exploração depende de um invasor obter a APP KEY secreta do Laravel, o que lhe permitiria descriptografar e manipular cookies de sessão contendo dados serializados. Ao alterar esses dados e criptografá-los novamente com a APP KEY, o invasor poderia desencadear uma deserialização arbitrária no servidor, levando potencialmente à execução remota de comandos.

No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.