Platform
php
Component
spatie/browsershot
Opgelost in
5.0.2
5.0.2
CVE-2024-21547 beschrijft een Directory Traversal kwetsbaarheid in de spatie/browsershot PHP library. Deze kwetsbaarheid stelt aanvallers in staat om willekeurige bestanden op de server te lezen door de URI normalisatie te omzeilen. De kwetsbaarheid treft versies van spatie/browsershot tot en met 5.0.1. Een update naar versie 5.0.2 is beschikbaar om dit probleem te verhelpen.
Deze Directory Traversal kwetsbaarheid in spatie/browsershot maakt het mogelijk voor een aanvaller om gevoelige informatie te onthullen die op de server is opgeslagen. Door de URI normalisatie te omzeilen, kan een aanvaller paden manipuleren en toegang krijgen tot bestanden buiten de beoogde directory. Dit kan leiden tot het blootleggen van configuratiebestanden, broncode, database credentials of andere gevoelige gegevens. De impact is aanzienlijk, omdat een succesvolle exploitatie kan leiden tot een compromis van de gehele server.
Deze kwetsbaarheid is openbaar bekend en er zijn waarschijnlijk reeds proof-of-concept exploits beschikbaar. De KEV score is nog niet bekend. Er zijn momenteel geen meldingen van actieve uitbuiting in de wildernis, maar de eenvoud van de exploitatie maakt het waarschijnlijk dat dit in de toekomst zal gebeuren. De kwetsbaarheid werd publiekelijk bekendgemaakt op 2024-12-18.
Applications using the spatie/browsershot package in their PHP projects are at risk. This includes websites and web applications that rely on browsershot for generating screenshots or PDFs from web pages. Shared hosting environments where the spatie/browsershot package is installed globally are particularly vulnerable.
• php / composer:
composer show spatie/browsershotIf the version is <=5.0.1, the system is vulnerable. • generic web:
curl -I 'http://your-website.com/browsershot?url=file:\\\/etc/passwd' # Check for 200 OK and file content in response• generic web:
Check access logs for requests containing file:\\\
disclosure
Exploit Status
EPSS
0.05% (16% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-21547 is het upgraden van spatie/browsershot naar versie 5.0.2 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de browser-shot functionaliteit via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verdachte URI's te blokkeren die pogingen tot directory traversal bevatten. Controleer ook de configuratie van spatie/browsershot om te zorgen dat de toegestane bestanden en directories correct zijn gedefinieerd.
Actualice la biblioteca spatie/browsershot a la versión 5.0.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Ejecute `composer update spatie/browsershot` para actualizar a la versión segura.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-21547 is a Directory Traversal vulnerability affecting versions of spatie/browsershot before 5.0.2, allowing attackers to read arbitrary files on the server.
You are affected if you are using spatie/browsershot version 5.0.1 or earlier. Check your composer.json file to determine your version.
Upgrade to version 5.0.2 or later of the spatie/browsershot package using composer require spatie/browsershot:^5.0.2.
As of December 2024, there are no confirmed reports of active exploitation, but it is crucial to apply the fix promptly.
Refer to the spatie/browsershot GitHub repository for updates and advisories: https://github.com/spatie/browsershot
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.