Plataforma
laravel
Componente
voyager
Corrigido em
1.3.1
A vulnerabilidade CVE-2020-37214 é um problema de Directory Traversal descoberto no Voyager, um painel de administração para Laravel. Essa falha permite que atacantes acessem arquivos sensíveis do sistema, como arquivos de configuração e senhas, manipulando o parâmetro de caminho dos ativos. A vulnerabilidade afeta versões 1.3.0 e anteriores, sendo corrigida na versão 1.3.1.
Um atacante pode explorar a vulnerabilidade de Directory Traversal no Voyager para obter acesso não autorizado a informações confidenciais armazenadas no sistema de arquivos do servidor. Ao manipular o parâmetro asset path na URL /admin/voyager-assets, o atacante pode ler arquivos arbitrários, incluindo arquivos de configuração como .env (que podem conter chaves de API, credenciais de banco de dados) e arquivos de sistema como /etc/passwd. A exposição dessas informações pode levar a comprometimento completo do servidor, roubo de dados e acesso não autorizado a outros sistemas conectados. A gravidade do impacto é alta, especialmente em ambientes de produção onde informações sensíveis são armazenadas.
A vulnerabilidade CVE-2020-37214 foi divulgada em 11 de fevereiro de 2026. Não há informações disponíveis sobre exploração ativa ou inclusão no KEV (CISA Known Exploited Vulnerabilities) até o momento. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração, portanto, a aplicação de medidas de mitigação é recomendada.
Voyager CMS installations, particularly those running version 1.3.0 or earlier, are at risk. Shared hosting environments utilizing Voyager CMS are especially vulnerable due to limited control over server configurations and potential exposure to other tenants' exploits. Development environments with default configurations are also at increased risk.
• laravel / server:
grep -r 'voyager-assets' /var/log/apache2/access.log
grep -r '..\/' /var/log/apache2/access.logdisclosure
poc
Status do Exploit
EPSS
0.33% (percentil 56%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2020-37214 é atualizar o Voyager para a versão 1.3.1 ou superior, que corrige a vulnerabilidade. Se a atualização imediata não for possível, implemente medidas de segurança adicionais, como restringir o acesso ao painel de administração apenas a usuários autorizados e configurar um Web Application Firewall (WAF) para bloquear solicitações maliciosas que tentem acessar arquivos fora do diretório esperado. Monitore os logs do servidor em busca de tentativas de acesso a arquivos suspeitos e considere implementar regras de firewall para bloquear o acesso direto a arquivos sensíveis.
Actualice Voyager a la versión 1.3.1 o superior para mitigar la vulnerabilidad de recorrido de directorios. Esta actualización corrige la forma en que se manejan las rutas de los activos, evitando el acceso no autorizado a archivos sensibles del sistema.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2020-37214 is a directory traversal vulnerability in Voyager CMS versions 1.3.0 and below, allowing attackers to read sensitive files by manipulating the asset path parameter.
Yes, if you are running Voyager CMS version 1.3.0 or earlier, you are affected by this vulnerability.
Upgrade Voyager CMS to version 1.3.1 or later to remediate the vulnerability. Consider WAF rules as a temporary workaround.
Public proof-of-concept exploits are available, suggesting potential for active exploitation. Monitor your systems for suspicious activity.
Refer to the Voyager CMS official website and security advisories for the latest information and updates regarding CVE-2020-37214.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo composer.lock e descubra na hora se você está afetado.