Tiga kerentanannya ditemukan dalam Voyager, paket PHP untuk mengelola aplikasi Laravel. Kerentanannya memungkinkan penyerang mengeksekusi kode jarak jauh hanya dengan satu klik pada tautan berbahaya.
Rincian Kerentanannya:
- CVE-2024-55417 – Penyerang bisa mengunggah file berbahaya yang terlihat seperti gambar atau video, tetapi berisi kode PHP yang dieksekusi di server.
- CVE-2024-55416 – Masalah di halaman admin yang memungkinkan penyerang menyuntikkan JavaScript berbahaya, yang dieksekusi jika admin mengklik tautan.
- CVE-2024-55415 – Kerentanan pada sistem manajemen file yang memungkinkan penyerang mengakses atau menghapus file penting di server.
Masalah ini belum diperbaiki, dan pengelola Voyager tidak memberikan tanggapan atas laporan kerentanannya.
Rekomendasi Solusi:
- Batasi akses Voyager hanya untuk pengguna terpercaya.
- Gunakan kontrol akses berbasis peran (RBAC) dan batasi izin unggah file.
- Di tingkat server, nonaktifkan eksekusi file PHP dan periksa file yang diunggah dengan ketat.
- Jika keamanan sangat penting, hindari penggunaan Voyager di lingkungan produksi hingga perbaikan resmi dirilis.
Sumber : https://www.bleepingcomputer.com/news/security/laravel-admin-package-voyager-vulnerable-to-one-click-rce-flaw/