Opis podatności
CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie Laragon podatność pozwalającą na zdalne wykonanie kodu (RCE).
Laragon w domyślnej konfiguracji nie jest podatny. Uruchomienie załączonego pluginu Simple Ajax Uploader skutkuje powstaniem luki wynikającej z nieprawidłowej walidacji wprowadzanych danych, która ma miejsce w pliku file_upload.php służącym jako przykład wykorzystania pluginu.
Podatności nadano identyfikator CVE-2024-0864. Najprawdopodobniej wszystkie wersje systemu są podatne (włącznie z najnowszą 6.0.0), a z racji na utrudniony kontakt z twórcą, nie wiadomo czy luka zostanie usunięta w przyszłych wydaniach.
