Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Каталог уязвимостей - CVE - CVE-2024-52301

Сертификаты СЗИ
CVE уязвимости
БДУ ФСТЭК уязвимости
НКЦКИ уязвимости
MITRE ATT&CK
БДУ ФСТЭК
Новая БДУ ФСТЭК
Каталоги Уязвимости - CVE CVE-2024-52301
Куда я попал?
SECURITM это SGRC система, ? автоматизирующая процессы в службах информационной безопасности. SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом и наработками для служб безопасности.
Подробнее
Наш канал

CVE-2024-52301

PUBLISHED 21.12.2024

CNA: GitHub_M

Laravel allows environment manipulation via query string

Обновлено: 12.11.2024
Laravel is a web application framework. When the register_argc_argv php directive is set to on , and users call any URL with a special crafted query string, they are able to change the environment used by the framework when handling the request. The vulnerability fixed in 6.20.45, 7.30.7, 8.83.28, 9.52.17, 10.48.23, and 11.31.0. The framework now ignores argv values for environment detection on non-cli SAPIs.

CWE

Идентификатор Описание
CWE-88 CWE-88: Argument Injection or Modification

БДУ ФСТЭК

Идентификатор Описание
BDU:2024-10010 Уязвимость конфигурации register_argc_argv = On PHP-фреймворка Laravel, позволяющая нарушителю оказать воздействие на целостность защищаемой информации

CVSS

Оценка Severity Версия Базовый вектор
8.7 HIGH 4.0 CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Доп. Информация

Product Status

framework
Product: framework
Vendor: laravel
Default status: Не определен
Версии:
Затронутые версии Статус
Наблюдалось в версии < 6.20.45 affected
Наблюдалось в версии >= 7.0.0, < 7.30.7 affected
Наблюдалось в версии >= 8.0.0, < 8.83.28 affected
Наблюдалось в версии >= 9.0.0, < 9.52.17 affected
Наблюдалось в версии >= 10.0.0, < 10.48.23 affected
Наблюдалось в версии >= 11.0.0, < 11.31.0 affected
 

Ссылки

https://github.com/laravel/framework/security/advisories/GHSA-gv7v-rgg6-548h

CISA ADP Vulnrichment

Обновлено: 21.11.2024
Этот блок содержит дополнительную информацию, предоставленную программой CVE для этой уязвимости.

SSVC

Exploitation Automatable Technical Impact Версия Дата доступа
none yes partial 2.0.3 13.11.2024

CVE Program Container

Обновлено: 21.12.2024
SSVC and KEV, plus CVSS and CWE if not provided by the CNA.

Ссылки

https://lists.debian.org/debian-lts-announce/2024/12/msg00019.html
Навигация

Мы используем cookie-файлы, чтобы получить статистику, которая помогает нам улучшить сервис для вас с целью персонализации сервисов и предложений. Вы может прочитать подробнее о cookie-файлах или изменить настройки браузера. Продолжая пользоваться сайтом, вы даёте согласие на использование ваших cookie-файлов и соглашаетесь с Политикой обработки персональных данных.