Laravel uygulamalarını yönetmek için açık kaynaklı PHP paketi Voyager’da uzak kod yürütme saldırıları için kullanılabilir.
Sorunlar serbest kalmaya devam ediyor ve kötü niyetli bir bağlantıyı tıklayan kimlik doğrulamalı bir Voyager kullanıcısına karşı kullanılabilir.
Bir kod kalitesi ve güvenlik şirketi olan Sonarsource’deki güvenlik açığı araştırmacıları, kusurları Voyager bakımcılarına bildirmeye çalıştıklarını, ancak şirketin güvenlik açığı açıklama politikasına göre sağladığı 90 günlük pencerede cevap almadığını söylüyor.
Güvenlik Açığı Detayları
Sonarqube bulut ekibi, rutin taramaları sırasında keyfi bir dosya yazımı olan Voyager’da ilk güvenlik açığını buldu. Projeye daha yakından bakıldığında, ulaşılabilir Voyager örneklerinde tek tıklamayla uzaktan kod yürütme saldırıları çalıştırmak için birleştirilebilecek ek güvenlik sorunları keşfettiler.
Üç kusur aşağıdaki gibi özetlenir:
- CVE-2024-55417 -Voyager’ın medya yükleme özelliği, saldırganların mime tipi doğrulamayı atlayarak kötü amaçlı dosyalar yüklemesine olanak tanır. Görüntü veya video olarak görünen ancak yürütülebilir PHP kodu içeren bir poliglot dosyası hazırlayarak, bir saldırgan sunucuda işlenirse uzaktan kod yürütme elde edebilir.
- CVE-2024-55416 – Voyager’deki /admin /pusula uç noktası, kullanıcı girişini yanlış bir şekilde dezenfekte ederek saldırganların JavaScript’i açılır mesajlara enjekte etmesine izin verir. Kimlik doğrulanmış bir yönetici kötü amaçlı bir bağlantıyı tıklarsa, komut dosyası tarayıcılarında yürütülür ve potansiyel olarak saldırganların uzaktan kod yürütülmesine yükselme de dahil olmak üzere kendi adlarına işlem yapmalarına izin verir.
- CVE-2024-55415 – Dosya yönetim sistemindeki bir kusur, saldırganların dosya yollarını manipüle etmesini ve sunucudaki keyfi dosyaları silmelerini veya erişmesini sağlar. Saldırganlar bundan yararlanarak hizmetleri bozabilir, kritik dosyaları silebilir veya hassas bilgileri çıkarabilir.
https://www.youtube.com/watch?v=kvqm5yj7fnw
Sonarqube Cloud araştırmacılarına göre, 11 Eylül 2024’ten bu yana E -posta ve GitHub üzerinden Voyager Bakımcılarına üç sorunu bildirdiler, ancak iletişim almadılar.
90 günlük açıklama döneminde, bir cevap almak ve kamu açıklama tarihinin yaklaştığını bildirmek için birçok kez denediler.
Araştırmacılar, 28 Kasım’da GitHub aracılığıyla bir güvenlik raporu açtıklarını ve Voyager koruyucularına 90 günlük açıklama penceresinin süresi dolduğunu ve teknik ayrıntıları herkese açık olarak paylaşmak üzere olduklarını bildirdiklerini söylüyorlar.
Etki ve Öneriler
Voyager öncelikle uygulamalarını yönetmek için önceden inşa edilmiş bir yönetici paneline ihtiyaç duyan Laravel geliştiricileri tarafından kullanılır.
Tipik kullanıcılar web geliştirme şirketleri, girişimler, serbest geliştiriciler, laravel hobileri ve genellikle dahili araçlar veya CMS tabanlı uygulamalar için Laravel kullanan küçük ve orta ölçekli işletmelerdir.
Voyager projesi, GitHub’da 2.700 kez çatallandığı, 11.800’den fazla yıldız aldığı ve milyonlarca indirme saydığı için oldukça popüler.
Keşfedilen üç kusurun açılmamış olduğu göz önüne alındığında, Voyager kullanıcıları yalnızca güvenilir kullanıcılara erişimi kısıtlamayı düşünmeli, “Grepe_Media” izinlerini, yetkisiz dosya yüklemelerini önlemek için ve pozlamayı en aza indirmek için Rol Tabanlı Erişim Kontrolü (RBAC) kullanmayı düşünmelidir.
Sunucu düzeyinde güvenlik önlemleri, PHP dosyalarının yürütülmesini devre dışı bırakma, çok dilli dosyaları reddetmek için katı MIME türü doğrulaması kullanma ve olağandışı dosya yükleme veya erişim etkinliği için günlüklerin düzenli olarak izlenmesini içerir.
Güvenlik kritikse, resmi yamalar çıkana kadar Voyager’ı üretim ortamlarında kullanmaktan kaçının veya başka bir Laravel yönetici paneline geçmeyi düşünün.