Zgłoś incydent
Zgłoś incydent

Podatność w oprogramowaniu Laragon
CVE ID CVE-2024-0864
Data publikacji 29 lutego 2024
Producent podatnego oprogramowania Leo Khoa
Nazwa podatnego oprogramowania Laragon
Podatne wersje Wszystkie
Typ podatności (CWE) Improper Input Validation (CWE-20)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie Laragon podatność pozwalającą na zdalne wykonanie kodu (RCE).

Laragon w domyślnej konfiguracji nie jest podatny. Uruchomienie załączonego pluginu Simple Ajax Uploader skutkuje powstaniem luki wynikającej z nieprawidłowej walidacji wprowadzanych danych, która ma miejsce w pliku file_upload.php służącym jako przykład wykorzystania pluginu.

Podatności nadano identyfikator CVE-2024-0864. Najprawdopodobniej wszystkie wersje oprogramowania są podatne (włącznie z najnowszą 6.0.0), a z racji na utrudniony kontakt z twórcą, nie wiadomo czy luka zostanie usunięta w przyszłych wydaniach.


Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.