Skip to main content

Vulnerabilidad en el software Laragon | CERT Polonia

mayo 24, 2024


ID CVE CVE-2024-0864
Fecha de publicación 29 de febrero de 2024
Proveedor leo khoa
Producto Laragón
Versiones vulnerables Todo
Tipo de vulnerabilidad (CWE) Validación de entrada incorrecta (CWE-20)
Fuente del informe Investigación propia

Descripción

Durante su propia investigación, CERT Polska ha encontrado una vulnerabilidad en Laragón proyecto de código abierto.

Habilitando Cargador Ajax simple El complemento incluido en este software permite un ataque de ejecución remota de código (RCE), lo cual es factible porque archivo_upload.php Carece de un mecanismo que valide los archivos que se cargan. La vulnerabilidad no se origina directamente en el código fuente del complemento, sino en el ejemplo. archivo_upload.php archivo usándolo. De forma predeterminada, Laragon no es vulnerable hasta que un usuario decide utilizar el complemento antes mencionado.

A la vulnerabilidad se le ha asignado el ID. CVE-2024-0864 y posiblemente afecte a todas las versiones del software (incluida la última 6.0.0). Debido a las dificultades para comunicarse con el proveedor, se desconoce cuándo (y si) se lanzará el parche.


Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.



Source link

Saber más  El portal estatal esti.ee cumple con las WCAG nivel A
Translate »