Vulnerabilidad en el software Laragon | CERT Polonia
ID CVE | CVE-2024-0864 |
Fecha de publicación | 29 de febrero de 2024 |
Proveedor | leo khoa |
Producto | Laragón |
Versiones vulnerables | Todo |
Tipo de vulnerabilidad (CWE) | Validación de entrada incorrecta (CWE-20) |
Fuente del informe | Investigación propia |
Descripción
Durante su propia investigación, CERT Polska ha encontrado una vulnerabilidad en Laragón proyecto de código abierto.
Habilitando Cargador Ajax simple El complemento incluido en este software permite un ataque de ejecución remota de código (RCE), lo cual es factible porque archivo_upload.php Carece de un mecanismo que valide los archivos que se cargan. La vulnerabilidad no se origina directamente en el código fuente del complemento, sino en el ejemplo. archivo_upload.php archivo usándolo. De forma predeterminada, Laragon no es vulnerable hasta que un usuario decide utilizar el complemento antes mencionado.
A la vulnerabilidad se le ha asignado el ID. CVE-2024-0864 y posiblemente afecte a todas las versiones del software (incluida la última 6.0.0). Debido a las dificultades para comunicarse con el proveedor, se desconoce cuándo (y si) se lanzará el parche.
Puede encontrar más información sobre el proceso coordinado de divulgación de vulnerabilidades en CERT Polska en https://cert.pl/es/cvd/.