Voyager 1.3.0 - Directory Traversal
Platform
laravel
Component
voyager
Opgelost in
1.3.1
CVE-2020-37214 beschrijft een Directory Traversal kwetsbaarheid in Voyager, een Laravel CMS. Deze kwetsbaarheid stelt aanvallers in staat om gevoelige systeembestanden te benaderen door de asset pad parameter te manipuleren. De kwetsbaarheid treft Voyager versies 1.3.0 en lager, maar is verholpen in versie 1.3.1. Het is belangrijk om zo snel mogelijk te upgraden om de risico's te minimaliseren.
Detecteer deze CVE in je project
Upload je composer.lock-bestand en we vertellen je direct of je getroffen bent.
Impact en Aanvalsscenarios
Een succesvolle exploitatie van deze Directory Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige systeembestanden. Dit omvat potentieel configuratiebestanden zoals .env (die database credentials en API keys kunnen bevatten) en systeembestanden zoals /etc/passwd. De impact is aanzienlijk, omdat een aanvaller hiermee toegang kan krijgen tot kritieke informatie die gebruikt kan worden voor verdere aanvallen, zoals het verkrijgen van database credentials of het uitvoeren van commando's op de server. Het is vergelijkbaar met andere Directory Traversal kwetsbaarheden waarbij de toegang tot systeembestanden de basis vormt voor verdere compromittering.
Uitbuitingscontext
Er zijn momenteel geen bekende actieve campagnes die deze specifieke kwetsbaarheid uitbuiten. Er zijn wel publieke Proof-of-Concept (POC) exploits beschikbaar, wat het risico verhoogt dat de kwetsbaarheid in de toekomst wordt misbruikt. De kwetsbaarheid is openbaar gemaakt op 2026-02-11. De ernst van de kwetsbaarheid is hoog, gezien de potentiële impact van ongeautoriseerde toegang tot systeembestanden.
Wie Loopt Risicowordt vertaald…
Voyager CMS installations, particularly those running version 1.3.0 or earlier, are at risk. Shared hosting environments utilizing Voyager CMS are especially vulnerable due to limited control over server configurations and potential exposure to other tenants' exploits. Development environments with default configurations are also at increased risk.
Detectiestappenwordt vertaald…
• laravel / server:
grep -r 'voyager-assets' /var/log/apache2/access.log
grep -r '..\/' /var/log/apache2/access.logAanvalstijdlijn
- Disclosure
disclosure
- PoC
poc
Dreigingsinformatie
Exploit Status
EPSS
0.33% (56% percentiel)
CISA SSVC
CVSS-vector
Wat betekenen deze metrics?
- Attack Vector
- Netwerk — op afstand uitbuitbaar via internet. Geen fysieke of lokale toegang vereist.
- Attack Complexity
- Laag — geen speciale voorwaarden vereist. Betrouwbaar uitbuitbaar.
- Privileges Required
- Geen — geen authenticatie vereist om te exploiteren.
- User Interaction
- Geen — automatische en stille aanval. Slachtoffer doet niets.
- Scope
- Ongewijzigd — impact beperkt tot het kwetsbare component.
- Confidentiality
- Hoog — volledig verlies van vertrouwelijkheid. Aanvaller kan alle gegevens lezen.
- Integrity
- Geen — geen integriteitsimpact.
- Availability
- Geen — geen beschikbaarheidsimpact.
Getroffen Software
Zwakheidsclassificatie (CWE)
Tijdlijn
- Gereserveerd
- Gepubliceerd
- Gewijzigd
- EPSS bijgewerkt
Mitigatie en Workarounds
De primaire mitigatie voor CVE-2020-37214 is het upgraden naar Voyager versie 1.3.1 of hoger. Indien een upgrade direct niet mogelijk is, kan een tijdelijke workaround bestaan uit het beperken van de toegankelijkheid tot de /admin/voyager-assets endpoint via een Web Application Firewall (WAF) of proxy. Configureer de WAF om requests met ongebruikelijke of lange asset pad parameters te blokkeren. Controleer ook de rechten van de webserver gebruiker om te zorgen dat deze geen toegang heeft tot gevoelige systeembestanden. Na de upgrade, controleer de logbestanden op verdachte activiteiten gerelateerd aan directory traversal pogingen.
Hoe te verhelpenwordt vertaald…
Actualice Voyager a la versión 1.3.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las rutas de los activos, evitando el acceso no autorizado a archivos sensibles del sistema.
CVE Beveiligingsnieuwsbrief
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Veelgestelde vragenwordt vertaald…
What is CVE-2020-37214 — Directory Traversal in Voyager CMS?
CVE-2020-37214 is a directory traversal vulnerability in Voyager CMS versions 1.3.0 and below, allowing attackers to read sensitive files by manipulating the asset path parameter.
Am I affected by CVE-2020-37214 in Voyager CMS?
Yes, if you are running Voyager CMS version 1.3.0 or earlier, you are affected by this vulnerability.
How do I fix CVE-2020-37214 in Voyager CMS?
Upgrade Voyager CMS to version 1.3.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround.
Is CVE-2020-37214 being actively exploited?
Public proof-of-concept exploits are available, suggesting potential for active exploitation. Monitor your systems for suspicious activity.
Where can I find the official Voyager CMS advisory for CVE-2020-37214?
Refer to the Voyager CMS official website and security advisories for the latest information and updates regarding CVE-2020-37214.
Is jouw project getroffen?
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.