Plataforma
laravel
Componente
voyager
Corregido en
1.3.1
CVE-2020-37214 describe una vulnerabilidad de recorrido de directorios presente en Voyager, un panel de administración para Laravel. Esta falla permite a atacantes acceder a archivos sensibles del sistema manipulando el parámetro de ruta de activos. La vulnerabilidad afecta a versiones 1.3.0 y anteriores, y se recomienda actualizar a la versión 1.3.1 para mitigar el riesgo.
La vulnerabilidad de recorrido de directorios en Voyager permite a un atacante, con acceso a la ruta /admin/voyager-assets, manipular el parámetro asset path para leer archivos arbitrarios en el sistema de archivos. Esto incluye archivos de configuración sensibles como .env, que pueden contener credenciales de bases de datos y claves de API, así como archivos de sistema como /etc/passwd. La exposición de esta información podría permitir a un atacante obtener acceso no autorizado al sistema, comprometer la confidencialidad de los datos y potencialmente ejecutar código malicioso. Un atacante podría, por ejemplo, leer la configuración de la base de datos y utilizarla para acceder a la información almacenada en ella, o utilizar las claves de API para acceder a servicios externos.
Esta vulnerabilidad fue publicada el 2026-02-11. No se ha reportado su explotación activa en campañas conocidas, pero la disponibilidad de la vulnerabilidad y su relativa facilidad de explotación la convierten en un objetivo potencial. No se ha añadido a la lista KEV de CISA. La falta de autenticación robusta en la ruta vulnerable facilita su explotación.
Voyager CMS installations, particularly those running version 1.3.0 or earlier, are at risk. Shared hosting environments utilizing Voyager CMS are especially vulnerable due to limited control over server configurations and potential exposure to other tenants' exploits. Development environments with default configurations are also at increased risk.
• laravel / server:
grep -r 'voyager-assets' /var/log/apache2/access.log
grep -r '..\/' /var/log/apache2/access.logdisclosure
poc
Estado del Exploit
EPSS
0.33% (56% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar Voyager a la versión 1.3.1 o superior, que corrige esta vulnerabilidad. Si la actualización no es inmediatamente posible, se pueden implementar medidas de mitigación temporales. Restrinja el acceso a la ruta /admin/voyager-assets solo a usuarios autorizados. Implemente una validación estricta del parámetro asset path para evitar la inyección de rutas maliciosas. Considere el uso de un Web Application Firewall (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio previsto. Revise los logs del servidor en busca de patrones sospechosos de intentos de recorrido de directorios.
Actualice Voyager a la versión 1.3.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las rutas de los activos, evitando el acceso no autorizado a archivos sensibles del sistema.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2020-37214 is a directory traversal vulnerability in Voyager CMS versions 1.3.0 and below, allowing attackers to read sensitive files by manipulating the asset path parameter.
Yes, if you are running Voyager CMS version 1.3.0 or earlier, you are affected by this vulnerability.
Upgrade Voyager CMS to version 1.3.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround.
Public proof-of-concept exploits are available, suggesting potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the Voyager CMS official website and security advisories for the latest information and updates regarding CVE-2020-37214.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo composer.lock y te decimos al instante si estás afectado.