1. Alertas de Seguridad
  2. Vulnerabilidad crítica de inyección de argumentos en Laravel CVE-2024-52301

Vulnerabilidad crítica de inyección de argumentos en Laravel CVE-2024-52301

Fecha de publicación: Vie, 15/11/2024 - 15:29

Alerta de seguridad

Nivel de peligrosidad: Critico

Descripción

Laravel es un framework de desarrollo web escrito en PHP, utilizado ampliamente para crear aplicaciones y APIs escalables gracias a su arquitectura modular y enfoque en la simplicidad. La vulnerabilidad CVE-2024-52301 con una criticidad de 8.7 afecta a las versiones del framework que utilizan la directiva register_argc_argv de PHP habilitada, permitiendo a los atacantes manipular el entorno de la aplicación mediante cadenas de consulta especialmente diseñadas.

Esta falla ocurre en el componente de manejo de consultas del framework (Query Handler), donde los delimitadores de argumentos no se neutralizan correctamente. Esto posibilita la inyección de argumentos que pueden alterar el comportamiento de las aplicaciones afectadas. Dependiendo del contexto, un atacante podría obtener acceso no autorizado, manipular datos sensibles, escalar privilegios o incluso provocar una denegación de servicio (DoS).

La vulnerabilidad es explotable de manera remota y no requiere autenticación previa, lo que amplifica el riesgo en entornos expuestos a internet. Laravel ha lanzado parches en las versiones seguras, recomendando la actualización inmediata para mitigar el impacto. En Bolivia existen al menos 339 sitios web que utilizan Laravel como framework de desarrollo.

Recursos afectados

Todas las aplicaciones web y APIs construidas con las versiones vulnerables de Laravel y que tengan la directiva register_argc_argv habilitada están en riesgo. Especialmente aquellas expuestas públicamente en la red.

La vulnerabilidad afecta a las siguientes versiones del framework Laravel:

  • < 6.20.45
  • 7.0.0 a < 7.30.7
  • 8.0.0 a < 8.83.28
  • 9.0.0 a < 9.52.17
  • 10.0.0 a < 10.48.23
  • 11.0.0 a < 11.31.0

Solución/Mitigación

Actualizar Laravel:
Actualiza a las siguientes versiones seguras donde el problema ha sido mitigado:

  • 6.20.45
  • 7.30.7
  • 8.83.28
  • 9.52.17
  • 10.48.23
  • 11.31.0

Revisar configuración de PHP:
Asegúrate de que la directiva register_argc_argv esté deshabilitada (off) en las configuraciones de PHP de producción, a menos que sea estrictamente necesario.

Recomendaciones

  • Realizar un análisis de dependencias para identificar cualquier otra biblioteca relacionada que pueda estar afectada.
  • Implementar un sistema de monitoreo que detecte actividades inusuales en tiempo real.
  • Asegurarse de realizar un proceso continuo de escaneo de vulnerabilidades en tus aplicaciones y servidores.
  • Capacitar a los desarrolladores sobre prácticas seguras, como la validación estricta de entradas y el uso de listas blancas en aplicaciones web.

Referencias