Plataforma
php
Componente
lamp-cloud
Corrigido em
5.8.1
5.8.2
Uma vulnerabilidade de Improper Authorization foi detectada no lamp-cloud, afetando versões até 5.8.1. A falha reside na função pageUser do arquivo /defUser/pageUser, dentro do componente DefUserController. Um atacante pode explorar essa vulnerabilidade para acessar recursos não autorizados, comprometendo a segurança da aplicação. A exploração pode ser realizada remotamente e um exploit público já foi divulgado.
Uma vulnerabilidade de escalonamento de privilégios foi detectada no lamp-cloud da Dromara até a versão 5.8.1. A vulnerabilidade reside na função pageUser dentro do arquivo /defUser/pageUser do componente DefUserController. Um atacante pode explorar esta falha para obter acesso não autorizado a recursos ou realizar ações sem a autorização adequada. A vulnerabilidade é classificada como CVSS 4.3, indicando um risco significativo. O fato de o exploit estar agora público e poder ser iniciado remotamente aumenta a urgência de resolver esta vulnerabilidade. A falta de resposta do projeto, apesar da notificação antecipada por meio de um relatório de problema, é preocupante e requer atenção imediata.
A vulnerabilidade pode ser explorada remotamente, o que significa que um atacante não precisa de acesso físico ao sistema afetado. O exploit é público, facilitando o uso por parte dos atacantes. O componente DefUserController e a função pageUser são os pontos de entrada para a exploração. A falta de resposta do projeto implica que a vulnerabilidade pode permanecer sem correção por um período prolongado, aumentando o risco de ataques. Recomenda-se uma auditoria de segurança completa para identificar e mitigar quaisquer outros riscos potenciais relacionados à configuração do lamp-cloud.
Organizations deploying lamp-cloud versions 5.8.0 through 5.8.1 are at immediate risk. This includes those using lamp-cloud for cloud management and automation tasks. Shared hosting environments utilizing these versions are particularly vulnerable due to the potential for cross-tenant exploitation.
• php / server:
find /var/www/html -name "DefUserController.php"• generic web:
curl -I https://your-lamp-cloud-instance/defUser/pageUser• generic web:
grep -r 'pageUser' /var/log/apache2/access.logdisclosure
poc
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
Vetor CVSS
Atualmente, não existe uma correção oficial fornecida pelo projeto Dromara para CVE-2026-5529. Enquanto uma correção não for lançada, os usuários do lamp-cloud versões anteriores a 5.8.1 são fortemente aconselhados a implementar medidas de mitigação temporárias. Isso pode incluir a implementação de controles de acesso mais rígidos, o monitoramento do sistema em busca de atividades suspeitas e a limitação do acesso à função pageUser. É crucial que os usuários se mantenham informados sobre quaisquer atualizações ou correções que o projeto Dromara possa lançar no futuro. Recomenda-se entrar em contato diretamente com a equipe da Dromara para expressar preocupação e solicitar uma atualização sobre o status da correção. A atualização para uma versão corrigida, quando disponível, é a solução definitiva.
Actualice lamp-cloud a una versión corregida. El proyecto Dromara ha sido notificado del problema, pero aún no ha proporcionado una solución. Consulte las fuentes de referencia para obtener más información y posibles soluciones alternativas.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVSS 4.3 é uma pontuação de severidade que indica o risco associado à vulnerabilidade. Uma pontuação de 4.3 sugere um risco moderado a alto.
Se você estiver usando lamp-cloud versão 5.8.1 ou anterior, provavelmente estará afetado por esta vulnerabilidade.
Implemente controles de acesso mais rígidos, monitore o sistema em busca de atividades suspeitas e limite o acesso à função pageUser.
Consulte a documentação do lamp-cloud e os relatórios de segurança relacionados ao CVE-2026-5529.
Tente entrar em contato com a equipe da Dromara por meio de seus canais de suporte oficiais, como seu site ou repositório GitHub.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.