| CVE ID | CVE-2024-0864 |
| Data publikacji | 29 lutego 2024 |
| Producent podatnego oprogramowania | Leo Khoa |
| Nazwa podatnego oprogramowania | Laragon |
| Podatne wersje | Wszystkie |
| Typ podatności (CWE) | Unrestricted Upload of File with Dangerous Type (CWE-434) |
| Źródło zgłoszenia | Badania własne |
Opis podatności
CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie Laragon podatność pozwalającą na zdalne wykonanie kodu (RCE).
Laragon w domyślnej konfiguracji nie jest podatny. Uruchomienie załączonego pluginu Simple Ajax Uploader skutkuje powstaniem luki wynikającej z nieprawidłowej walidacji wprowadzanych danych, która ma miejsce w pliku file_upload.php służącym jako przykład wykorzystania pluginu.
Podatności nadano identyfikator CVE-2024-0864. Najprawdopodobniej wszystkie wersje oprogramowania są podatne (włącznie z najnowszą 6.0.0), a z racji na utrudniony kontakt z twórcą, nie wiadomo czy luka zostanie usunięta w przyszłych wydaniach.
Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.