TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

トップ > アプリ: Voyager > Laravel admin package Voyager vulnerable to one-click RCE flaw

Laravel admin package Voyager vulnerable to one-click RCE flaw

アプリ: Voyager ベンダー: Laravel

【訳】

Laravelの管理パッケージVoyagerにワンクリックでRCE脆弱性


【要約】

Laravel管理パッケージ「Voyager」に3つの未修正脆弱性(CVE-2024-55417、CVE-2024-55416、CVE-2024-55415)が発見されました。これらは、悪意あるファイルアップロードによるリモートコード実行(RCE)、JavaScript注入による管理者成り済まし、任意ファイルの削除・アクセスを可能にします。開発元への報告にもかかわらず、90日間の開示期限内に対応はありませんでした。ユーザーはアクセス制限やファイル実行の無効化、MIME検証強化などで対策を講じることが推奨されています。


【ニュース】

◆Laravel admin package Voyager vulnerable to one-click RCE flaw (BleepingComputer, 2025/01/29 14:27)
[Laravelの管理パッケージVoyagerにワンクリックでRCE脆弱性]
https://www.bleepingcomputer.com/news/security/laravel-admin-package-voyager-vulnerable-to-one-click-rce-flaw/

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022