9VSA21-00392-01 CSIRT comparte mitigaciones obtenidas de Laravel

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte información sobre una vulnerabilidad que afecta Ignition para Laravel. Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidad
CVE-2021-3129

Impacto

CVE-2021-3129 permite a un atacante remoto ejecutar código arbitrario en el sistema objetivo. La vulnerabilidad existe debido a una validación inapropiada de los datos ingresados en Ignition. Un atacante remoto puede enviar una solicitud especialmente diseñada a la aplicación y leer o escribir archivos arbitrarios en el sistema.

La vulnerabilidad puede ser explotada por un atacante remoto no autenticado, a través de internet.

Productos Afectados

Ignition, versiones 1.16.0 a 1.16.4

Mitigación

Instalar las respectivas actualizaciones desde el sitio del proveedor.

Enlaces
https://www.ambionics.io/blog/laravel-debug-rce
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3129

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00392-01

9VSA21-00392-01 CSIRT comparte mitigaciones obtenidas de Laravel