LaRecipe, pakiet do tworzenia dokumentacji Markdown w aplikacjach Laravel, jest podatny na Server-Side Template Injection (SSTI) w wersjach wcześniejszych niż 2.8.1. Podatność może prowadzić do Remote Code Execution (RCE) i jest oceniona jako krytyczna z maksymalnym wynikiem CVSS 10.0.
▸ Pokaż oryginał (EN)
LaRecipe is an application that allows users to create documentation with Markdown inside a Laravel app. Versions prior to 2.8.1 are vulnerable to Server-Side Template Injection (SSTI), which could potentially lead to Remote Code Execution (RCE) in vulnerable configurations. Attackers could execute arbitrary commands on the server, access sensitive environment variables, and/or escalate access depending on server configuration. Users are strongly advised to upgrade to version v2.8.1 or later to receive a patch.
Podatność sklasyfikowana jako CWE-1336 polega na nieprawidłowej neutralizacji składni używanej w szablonach po stronie serwera. Atakujący może wstrzyknąć złośliwy payload do mechanizmu renderowania szablonów, co w podatnych konfiguracjach skutkuje wykonaniem dowolnego kodu po stronie serwera. Atak nie wymaga uwierzytelnienia, interakcji użytkownika ani szczególnych uprawnień, a jego zakres wykracza poza atakowaną aplikację (scope changed).
Atakujący może wykonać dowolne polecenia systemowe na serwerze, uzyskać dostęp do wrażliwych zmiennych środowiskowych oraz eskalować dostęp w zależności od konfiguracji serwera, co może prowadzić do pełnego przejęcia systemu.
Należy zaktualizować LaRecipe do wersji 2.8.1 lub nowszej, która zawiera stosowny patch. Szczegóły dostępne są w referencjach producenta oraz w security advisory GHSA-jv7x-xhv2-p5v2.
LaRecipe w wersjach wcześniejszych niż 2.8.1
Patch dostępny w commicie c1d0d56889655ce5f2645db5acf0e78d5fc3b36b w repozytorium GitHub. Podatność dotyczy wyłącznie konfiguracji, w których niezaufane dane wejściowe mogą trafiać do silnika szablonów.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H