Podatność w oprogramowaniu Laragon

cert.pl 9 miesięcy temu

Opis podatności

CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie Laragon podatność pozwalającą na zdalne wykonanie kodu (RCE).

Laragon w domyślnej konfiguracji nie jest podatny. Uruchomienie załączonego pluginu Simple Ajax Uploader skutkuje powstaniem luki wynikającej z nieprawidłowej walidacji wprowadzanych danych, która ma miejsce w pliku file_upload.php służącym jako przykład wykorzystania pluginu.

Podatności nadano identyfikator CVE-2024-0864. Najprawdopodobniej wszystkie wersje systemu są podatne (włącznie z najnowszą 6.0.0), a z racji na utrudniony kontakt z twórcą, nie wiadomo czy luka zostanie usunięta w przyszłych wydaniach.

Idź do oryginalnego materiału