Voyager 1.3.0 - Traversal de répertoire
Plateforme
laravel
Composant
voyager
Corrigé dans
1.3.1
La vulnérabilité CVE-2020-37214 est une faille de traversal de répertoire découverte dans Voyager CMS. Cette faille permet à un attaquant d'accéder à des fichiers sensibles du système en manipulant le paramètre de chemin d'accès aux ressources. Elle affecte les versions 1.3.0 et antérieures, et une correction est disponible dans la version 1.3.1.
Détecte cette CVE dans ton projet
Téléverse ton fichier composer.lock et nous te dirons instantanément si tu es affecté.
Impact et Scénarios d'Attaque
L'exploitation réussie de cette vulnérabilité permet à un attaquant de lire des fichiers arbitraires sur le serveur. Cela inclut des fichiers de configuration sensibles tels que le fichier .env, qui peut contenir des informations d'identification de base de données, des clés API et d'autres secrets. L'accès au fichier /etc/passwd pourrait également permettre de compromettre davantage le système. Un attaquant pourrait potentiellement obtenir un accès non autorisé à des données confidentielles, modifier la configuration du serveur ou même prendre le contrôle du système.
Contexte d'Exploitation
Cette vulnérabilité a été rendue publique le 11 février 2026. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la simplicité de l'exploitation et la sensibilité des données potentiellement accessibles en font une cible attrayante pour les attaquants. Il est conseillé de surveiller les forums de sécurité et les bases de données de vulnérabilités pour d'éventuelles preuves d'exploitation.
Qui Est à Risquetraduction en cours…
Voyager CMS installations, particularly those running version 1.3.0 or earlier, are at risk. Shared hosting environments utilizing Voyager CMS are especially vulnerable due to limited control over server configurations and potential exposure to other tenants' exploits. Development environments with default configurations are also at increased risk.
Étapes de Détectiontraduction en cours…
• laravel / server:
grep -r 'voyager-assets' /var/log/apache2/access.log
grep -r '..\/' /var/log/apache2/access.logChronologie de l'Attaque
- Disclosure
disclosure
- PoC
poc
Renseignement sur les Menaces
Statut de l'Exploit
EPSS
0.33% (percentile 56%)
CISA SSVC
Vecteur CVSS
Que signifient ces métriques?
- Attack Vector
- Réseau — exploitable à distance via internet. Aucun accès physique ou local requis.
- Attack Complexity
- Faible — aucune condition spéciale requise. Exploitable de manière fiable.
- Privileges Required
- Aucun — sans authentification. Aucune identifiant requis pour exploiter.
- User Interaction
- Aucune — attaque automatique et silencieuse. La victime ne fait rien.
- Scope
- Inchangé — impact limité au composant vulnérable.
- Confidentiality
- Élevé — perte totale de confidentialité. L'attaquant peut lire toutes les données.
- Integrity
- Aucun — aucun impact sur l'intégrité.
- Availability
- Aucun — aucun impact sur la disponibilité.
Logiciel Affecté
Classification de Faiblesse (CWE)
Chronologie
- Réservé
- Publiée
- Modifiée
- EPSS mis à jour
Mitigation et Contournements
La mitigation principale consiste à mettre à jour Voyager CMS vers la version 1.3.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de mettre en place des mesures de protection temporaires. Il est recommandé de restreindre l'accès au répertoire /admin/voyager-assets via un pare-feu ou un proxy inverse. Vérifiez également les permissions des fichiers et des répertoires pour vous assurer qu'ils sont correctement configurés. Après la mise à jour, vérifiez que le paramètre asset path est correctement validé et qu'il n'est pas possible d'injecter des chemins de fichiers arbitraires.
Comment corrigertraduction en cours…
Actualice Voyager a la versión 1.3.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las rutas de los activos, evitando el acceso no autorizado a archivos sensibles del sistema.
Newsletter Sécurité CVE
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Questions fréquentestraduction en cours…
What is CVE-2020-37214 — Directory Traversal in Voyager CMS?
CVE-2020-37214 is a directory traversal vulnerability in Voyager CMS versions 1.3.0 and below, allowing attackers to read sensitive files by manipulating the asset path parameter.
Am I affected by CVE-2020-37214 in Voyager CMS?
Yes, if you are running Voyager CMS version 1.3.0 or earlier, you are affected by this vulnerability.
How do I fix CVE-2020-37214 in Voyager CMS?
Upgrade Voyager CMS to version 1.3.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround.
Is CVE-2020-37214 being actively exploited?
Public proof-of-concept exploits are available, suggesting potential for active exploitation. Monitor your systems for suspicious activity.
Where can I find the official Voyager CMS advisory for CVE-2020-37214?
Refer to the Voyager CMS official website and security advisories for the latest information and updates regarding CVE-2020-37214.
Ton projet est-il affecté ?
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.