Laravel : PoC public pour l’exploitation de la vulnérabilité CVE-2024-13919 (AL06/250312/CSIRT-ITA)

Synthèse

Une preuve de concept (PoC) est disponible pour CVE-2024-13919 – déjà corrigé – présent dans Laravel, un framework open source bien connu pour le développement d’applications Web. Cette vulnérabilité, si elle est exploitée, pourrait permettre l’exécution de code JavaScript dans le navigateur d’un utilisateur à l’origine de l’application Web affectée.

Risque

Impact estimé de la vulnérabilité sur la communauté cible : Élevé (72,82)

Typologie

• Data Manipulation
• Information Leakage

Produits et versions concernés

• Laravel, de la version 11.9.0 à 11.35.1

Mesures d’atténuation

Si ce n’est pas le cas, nous vous recommandons de mettre à jour rapidement les produits vulnérables vers la dernière version disponible en suivant les instructions du bulletin de sécurité indiqué dans la section Références.

Références

https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-02_Laravel_Reflected_XSS_via_Route_Parameter_in_Debug-Mode_Error_Page

¹Cette estimation est réalisée en tenant compte de plusieurs paramètres, notamment : CVSS, disponibilité des patch/workaround et PoC, diffusion des logiciels/appareils concernés dans la communauté de référence.