nvd,anchore_overrides
Laravel
Уязвимости
29
Эксплуатируемые
3
Критический
6
Высокий
13
Топ уязвимостей
CVE-2026-23524Laravel Reverb предоставляет коммуникационный коммуникационный бэкэнд в режиме реального времени для приложений Laravel. В версиях 1.6.3 и ниже Reverb передает данные из канала Redis непосредственно в функцию unserialize() PHP без ограничения того, какие классы могут быть инстанциентированы, что делает пользователей уязвимыми для выполнения удаленного кода. Эксплуатационная способность этой уязвимости увеличивается, потому что серверы Redis обычно развертываются без аутентификации, но влияют только на Laravel Reverb, когда включено горизонтальное масштабирование (REVERB_SCALING_ENABLED=true). Эта проблема была исправлена в версии 1.7.0. В качестве обходного варианта, требуется надежный пароль для доступа к Redis и убедитесь, что услуга доступна только через частную сеть или локальную загрузку, и/или установите REVERB_SCALING_ENABLED=false для полного обхода уязвимой логики (если среда использует только один узел Reverb).
CVE-2022-2870Обнаружена уязвимость в laravel 5.1, классифицированная как проблемная. Эта проблема затрагивает некоторую неизвестную обработку. Манипуляция приводит к десериализации. Атака может быть инициирована удаленно. Эксплойт был обнародован и может быть использован. Идентификатор VDB-206501 был присвоен этой уязвимости.
CVE-2021-43617Laravel Framework до версии 8.70.2 недостаточно блокирует загрузку исполняемого PHP-контента, поскольку в Illuminate/Validation/Concerns/ValidatesAttributes.php отсутствует проверка файлов .phar, которые обрабатываются как application/x-httpd-php в системах на базе Debian. ПРИМЕЧАНИЕ: эта запись CVE относится к Laravel Framework и не связана ни с какими сообщениями о некорректно написанных пользовательских приложениях для загрузки изображений.
CVE-2021-3129Ignition до 2.5.2, используемый в Laravel и других продуктах, позволяет неаутентифицированным удаленным злоумышленникам выполнять произвольный код из-за небезопасного использования file_get_contents() и file_put_contents(). Это можно использовать на сайтах, использующих режим отладки с Laravel до 8.4.2.
CVE-2021-28254Уязвимость десериализации в функции destruct() Laravel v8.5.9 позволяет злоумышленникам выполнять произвольные команды.
CVE-2025-54068Livewire — это полнофункциональный фреймворк для Laravel. В Livewire v3 до версии v3.6.3 существует уязвимость, позволяющая неаутентифицированным злоумышленникам добиться выполнения произвольного кода на сервере в определенных сценариях. Проблема связана с тем, как обрабатываются обновления свойств определенных компонентов. Эта уязвимость характерна только для Livewire v3 и не затрагивает предыдущие основные версии. Для эксплуатации уязвимости требуется, чтобы компонент был смонтирован и настроен определенным образом, но не требует аутентификации или взаимодействия с пользователем. Проблема исправлена в Livewire v3.6.4. Всем пользователям рекомендуется как можно скорее обновиться до этой или более поздней версии. Других известных способов устранения уязвимости нет. Источники: https://github.com/livewire/livewire/security/advisories/GHSA-29cq-5w36-x7w3 [1], https://github.com/livewire/livewire/commit/ef04be759da41b14d2d129e670533180a44987dc [2], https://github.com/livewire/livewire/releases/tag/v3.6.4 [3]
Источники:
- [1] https://github.com/livewire/livewire/security/advisories/GHSA-29cq-5w36-x7w3
- [2] https://github.com/livewire/livewire/commit/ef04be759da41b14d2d129e670533180a44987dc
- [3] https://github.com/livewire/livewire/releases/tag/v3.6.4
CVE-2024-22859Уязвимость межсайтовой подделки запросов (CSRF) в livewire до версии v3.0.4 позволяет удаленным злоумышленникам выполнять произвольный код в функции getCsrfToken. ПРИМЕЧАНИЕ: поставщик оспаривает это, поскольку коммит 5d88731 устраняет проблему удобства использования (коды состояния HTTP 419 для законных действий клиента), а не проблему безопасности.
CVE-2022-2886В Laravel 5.1 обнаружена уязвимость, которая была классифицирована как критическая. Затронута неизвестная функция. Манипуляция приводит к десериализации. Можно начать атаку удаленно. Эксплойт был обнародован и может быть использован. Идентификатор этой уязвимости - VDB-206688.
CVE-2020-19316Уязвимость внедрения OS Command в функции link в Filesystem.php в Laravel Framework до 5.8.17.
CVE-2018-6330Laravel 5.4.15 уязвим для SQL-инъекции на основе ошибок в save.php через параметры dhx_user и dhx_version.
CVE-2024-55661Laravel Pulse — это инструмент мониторинга производительности приложений в реальном времени и панель управления для приложений Laravel. В Laravel Pulse до версии 1.3.1 была обнаружена уязвимость, которая может позволить удаленное выполнение кода через общедоступный метод `remember()` в трейте `Laravel\Pulse\Livewire\Concerns\RemembersQueries`. Этот метод доступен через компоненты Livewire и может быть использован для вызова произвольных вызываемых объектов в приложении. Аутентифицированный пользователь с доступом к панели управления Laravel Pulse может выполнять произвольный код, вызывая любую функцию или статический метод, в котором вызываемый объект является функцией или статическим методом и вызываемый объект не имеет параметров или не имеет строгих типов параметров. Уязвимым компонентом является метод `remember(callable $query, string $key = '')` в `Laravel\Pulse\Livewire\Concerns\RemembersQueries`, и уязвимость затрагивает все компоненты карточек Pulse, которые используют этот трейт. Версия 1.3.1 содержит исправление.
CVE-2024-52301Laravel — это фреймворк для веб-приложений. Когда директива php register_argc_argv установлена в on, и пользователи вызывают любой URL-адрес со специально созданной строкой запроса, они могут изменить среду, используемую фреймворком при обработке запроса. Уязвимость исправлена в версиях 6.20.45, 7.30.7, 8.83.28, 9.52.17, 10.48.23 и 11.31.0. Теперь фреймворк игнорирует значения argv для определения среды на не-cli SAPIs.
CVE-2022-25838Laravel Fortify до версии 1.11.1 допускает повторное использование в течение короткого периода времени, что ставит под сомнение часть "OT" концепции "TOTP".
CVE-2018-15133В Laravel Framework до 5.5.40 и 5.6.x до 5.6.29 может произойти удаленное выполнение кода в результате вызова unserialize для потенциально ненадежного значения X-XSRF-TOKEN. Это включает в себя метод decrypt в Illuminate/Encryption/Encrypter.php и PendingBroadcast в gadgetchains/Laravel/RCE/3/chain.php в phpggc. Злоумышленник должен знать ключ приложения, что обычно никогда не происходит, но может произойти, если злоумышленник ранее имел привилегированный доступ или успешно выполнил предыдущую атаку.
CVE-2024-47823Livewire — это полнофункциональный фреймворк для Laravel, который позволяет создавать динамические компоненты пользовательского интерфейса, не покидая PHP. В livewire/livewire до `2.12.7` и `v3.5.2` расширение загруженного файла определяется на основе MIME-типа. В результате фактическое расширение файла из имени файла не проверяется. Поэтому злоумышленник может обойти проверку, загрузив файл с допустимым MIME-типом (например, `image/png`) и расширением файла «.php». Если соблюдены следующие критерии, злоумышленник может выполнить RCE-атаку: 1. Имя файла состоит из исходного имени файла с использованием `$file->getClientOriginalName()`. 2. Файлы хранятся непосредственно на вашем сервере на общедоступном диске. 3. Веб-сервер настроен на выполнение файлов «.php». Эта проблема была решена в версиях `2.12.7` и `3.5.2`. Всем пользователям рекомендуется выполнить обновление. Обходные пути для этой уязвимости отсутствуют.
CVE-2020-24941Проблема обнаружена в Laravel до 6.18.35 и 7.x до 7.24.0. Свойство $guarded неправильно обрабатывается в некоторых ситуациях, связанных с запросами с выражениями вложения столбцов JSON.
CVE-2020-24940Проблема обнаружена в Laravel до 6.18.34 и 7.x до 7.23.2. Непроверенные значения сохраняются в базе данных в некоторых ситуациях, когда имена таблиц удаляются во время массового присвоения.
CVE-2017-16894В фреймворке Laravel до версии 5.5.21 удаленные злоумышленники могут получить конфиденциальную информацию (например, пароли, пригодные для внешнего использования) через прямой запрос URI /.env. ПРИМЕЧАНИЕ: этот CVE относится только к функции writeNewEnvironmentFileWith фреймворка Laravel в src/Illuminate/Foundation/Console/KeyGenerateCommand.php, которая использует file_put_contents без ограничения разрешений .env. Имя файла .env не используется исключительно фреймворком Laravel.
CVE-2026-39976Laravel Passport предоставляет серверную поддержку OAuth2 Laravel. С 13.0.0 до 13.7.1 существует объездная аутентификация для токенов client_credentials. библиотека лиги/oauth2-server устанавливает подпадок JWT на идентификатор клиента (поскольку нет пользователя). Затем охранник токена передает это значение, чтобы получить BybyId() без проверки, что на самом деле это идентификатор пользователя, потенциально разрешая несвязанного реального пользователя. Любой токен «машина-машина» может непреднамеренно аутентифицироваться как реальный пользователь. Эта уязвимость исправлена в 13.7.1.
CVE-2025-27515Laravel — это веб-фреймворк. При использовании проверки по шаблону для валидации данного файла или поля изображения (`files.*`), злонамеренный запрос, созданный пользователем, потенциально может обойти правила валидации. Эта уязвимость исправлена в версиях 11.44.1 и 12.1.1.
CVE-2024-50347Laravel Reverb предоставляет серверную часть связи WebSocket в режиме реального времени для приложений Laravel. До версии 1.4.0 существует проблема, из-за которой не проверялись подписи проверки запросов, отправляемых в Pusher-совместимый API Reverb. Этот API используется в таких сценариях, как трансляция сообщения из серверной службы или получение статистической информации (например, количества подключений) о данном канале. Эта проблема затрагивает только Pusher-совместимые конечные точки API, а не сами подключения WebSocket. Чтобы воспользоваться этой уязвимостью, идентификатор приложения, который никогда не должен быть раскрыт, должен быть известен злоумышленнику. Эта уязвимость исправлена в версии 1.4.0.
CVE-2024-21504Версии пакета livewire/livewire от 3.3.5 и до 3.4.9 уязвимы для межсайтового скриптинга (XSS), когда страница использует [Url] для свойства. Злоумышленник может внедрить HTML-код в контекст сеанса браузера пользователя, создав вредоносную ссылку и убедив пользователя щелкнуть по ней.
CVE-2024-13919Версии фреймворка Laravel от 11.9.0 до 11.35.1 подвержены отраженному межсайтовому скриптингу из-за неправильного кодирования параметров маршрута на странице ошибки в режиме отладки.
CVE-2024-13918Версии фреймворка Laravel от 11.9.0 до 11.35.1 подвержены отражённому межсайтовому скриптингу из-за неправильного кодирования параметров запроса на странице ошибки в режиме отладки.
CVE-2021-43808Laravel — это фреймворк веб-приложений. Laravel до версий 8.75.0, 7.30.6 и 6.20.42 содержит возможную уязвимость межсайтового скриптинга (XSS) в механизме шаблонов Blade. Можно щелкнуть сломанный HTML-элемент, и пользователь будет перенаправлен в другое место в браузере из-за XSS. Это связано с тем, что пользователь может угадать хэш SHA-1 родительского заполнителя, попробовав общие имена разделов. Если родительский шаблон содержит эксплуатируемую структуру HTML, может быть выявлена уязвимость XSS. Эта уязвимость была исправлена в версиях 8.75.0, 7.30.6 и 6.20.42 путем определения родительского заполнителя во время выполнения и использования случайного хэша, уникального для каждого запроса.