CVE-2025-34060

Nome do Software Vulnerável e Versões Afetadas: Software de fórum baseado em Laravel do Projeto Monero (versões afetadas não especificadas)

Descrição: Existe uma vulnerabilidade de injeção de objeto PHP no software de fórum baseado em Laravel do Projeto Monero devido ao tratamento inseguro de entrada não confiável no endpoint "/get/image/". A aplicação passa um parâmetro de link fornecido pelo usuário diretamente para file get contents() sem validação. Verificações de tipo MIME utilizando o finfo do PHP podem ser contornadas por meio de cadeias de filtros de stream manipuladas que antecedem cabeçalhos falsificados, permitindo o acesso a arquivos de configuração internos do Laravel. Um atacante pode extrair a APP KEY de config/app.php, forjar cookies criptografados e acionar chamadas inseguras de unserialize(), resultando em execução remota de código confiável.

Recomendações: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.