Plataforma
php
Componente
spatie/browsershot
Corrigido em
5.0.2
5.0.2
A vulnerabilidade CVE-2024-21547 é um problema de Directory Traversal encontrado na biblioteca spatie/browsershot, afetando versões até 5.0.1. Um atacante pode explorar essa falha para ler arquivos arbitrários no servidor, comprometendo a confidencialidade dos dados. A atualização para a versão 5.0.2 resolve essa vulnerabilidade, corrigindo a normalização inadequada de URIs.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante acesse arquivos no servidor que não deveriam estar acessíveis. Isso pode incluir arquivos de configuração, código-fonte, dados de usuários ou outros dados sensíveis. O impacto potencial é significativo, pois pode levar à divulgação de informações confidenciais, comprometimento da integridade do sistema e, em alguns casos, execução remota de código, dependendo dos arquivos acessíveis. A falha reside na forma como a biblioteca normaliza URIs, permitindo que o caractere '\' seja interpretado como '/', contornando a verificação de segurança file://.
A vulnerabilidade foi divulgada em 18 de dezembro de 2024. Não há informações disponíveis sobre exploração ativa em campanhas direcionadas. A existência de um Proof of Concept (PoC) público pode aumentar o risco de exploração. A avaliação de risco é considerada alta devido à facilidade de exploração e ao potencial impacto.
Applications using the spatie/browsershot package in their PHP projects are at risk. This includes websites and web applications that rely on browsershot for generating screenshots or PDFs from web pages. Shared hosting environments where the spatie/browsershot package is installed globally are particularly vulnerable.
• php / composer:
composer show spatie/browsershotIf the version is <=5.0.1, the system is vulnerable. • generic web:
curl -I 'http://your-website.com/browsershot?url=file:\\\/etc/passwd' # Check for 200 OK and file content in response• generic web:
Check access logs for requests containing file:\\\
disclosure
Status do Exploit
EPSS
0.05% (percentil 16%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-21547 é a atualização imediata para a versão 5.0.2 ou superior da biblioteca spatie/browsershot. Se a atualização imediata não for possível devido a problemas de compatibilidade, considere implementar medidas de segurança adicionais, como restringir o acesso ao diretório onde a biblioteca está instalada, utilizando um firewall de aplicação web (WAF) para bloquear solicitações maliciosas ou implementando regras de proxy para filtrar URIs suspeitas. Verifique se a biblioteca está sendo utilizada corretamente e se as URIs fornecidas são validadas antes de serem processadas.
Actualice la biblioteca spatie/browsershot a la versión 5.0.2 o superior. Esto solucionará la vulnerabilidad de path traversal. Ejecute `composer update spatie/browsershot` para actualizar a la versión segura.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-21547 is a Directory Traversal vulnerability affecting versions of spatie/browsershot before 5.0.2, allowing attackers to read arbitrary files on the server.
You are affected if you are using spatie/browsershot version 5.0.1 or earlier. Check your composer.json file to determine your version.
Upgrade to version 5.0.2 or later of the spatie/browsershot package using composer require spatie/browsershot:^5.0.2.
As of December 2024, there are no confirmed reports of active exploitation, but it is crucial to apply the fix promptly.
Refer to the spatie/browsershot GitHub repository for updates and advisories: https://github.com/spatie/browsershot
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.