ATTHEL'ler, PHP Açık Kaynak Voyager PHP'deki farklı güvenlik açıklarında larva uygulamalarını yönetmeye başlayabilir ve en kötü durumda zararlı bir kod gerçekleştirebilir. Şimdiye kadar güvenlik güncellemeleri yok.
Duyuru
Voyager, Lavel ile oluşturulan uygulamalar için yönetimsel bir arayüzdür. Diğer şeylerin yanı sıra, geliştiriciler uygulamaları için menüler oluşturabilirler. Resmi web sitesine göre, Voyager şimdiye kadar 2,3 milyondan fazla indirdi.
Saldırılar yakın olabilir
Sonar güvenlik araştırmacıları, tehdit seviyesinin açık bir şekilde devam ettiği toplam üç boşluk (CVE-2024-55415, CVE-2024-55416, CVE-2024-55417) karşılaştı. Diğer şeylerin yanı sıra, saldırganlar kodlarını sunucularda gerçekleştirmek için dosyaları yükleme sırasında kontrolü yönetebilir. Bir yöneticinin hazırlıklı, hayvan bağlantısına tıklaması için sistemlere ulaşabilir ve bunları sıkıştırabilir.
Bir katkıda, araştırmacılar geliştiricilerle birkaç kez iletişim kurduğunu iddia ediyorlar, ancak şimdiye kadar bir cevap almadılar. Bu nedenle Voyager kullanan yazılım geliştiricilerine saldırıya uğradı. Şu anda zaten saldırı olup olmadığı bilinmiyor.
90 günlük sorumlu dönem geçtikten sonra, güvenlik araştırmacıları artık güvenlik riski hakkında ayrıntılar yayınladılar. Yayınınızda, diğer şeylerin yanı sıra, zayıflıkların duvar kağıtlarını açıklarsınız.
Araştırmacılar, güvenlik yamaları görüntülenene kadar aracı kullanmamalarını önermezler. Alternatif olarak, yöneticiler erişimi sınırlayabilir ve PHP kodunun yürütülmesini yasaklayabilir. Ancak, bu sadece tam bir güvenlik sunmayan geçici korumadır.
(DES)
Duyuru
Voyager, Lavel ile oluşturulan uygulamalar için yönetimsel bir arayüzdür. Diğer şeylerin yanı sıra, geliştiriciler uygulamaları için menüler oluşturabilirler. Resmi web sitesine göre, Voyager şimdiye kadar 2,3 milyondan fazla indirdi.
Saldırılar yakın olabilir
Sonar güvenlik araştırmacıları, tehdit seviyesinin açık bir şekilde devam ettiği toplam üç boşluk (CVE-2024-55415, CVE-2024-55416, CVE-2024-55417) karşılaştı. Diğer şeylerin yanı sıra, saldırganlar kodlarını sunucularda gerçekleştirmek için dosyaları yükleme sırasında kontrolü yönetebilir. Bir yöneticinin hazırlıklı, hayvan bağlantısına tıklaması için sistemlere ulaşabilir ve bunları sıkıştırabilir.
Bir katkıda, araştırmacılar geliştiricilerle birkaç kez iletişim kurduğunu iddia ediyorlar, ancak şimdiye kadar bir cevap almadılar. Bu nedenle Voyager kullanan yazılım geliştiricilerine saldırıya uğradı. Şu anda zaten saldırı olup olmadığı bilinmiyor.
90 günlük sorumlu dönem geçtikten sonra, güvenlik araştırmacıları artık güvenlik riski hakkında ayrıntılar yayınladılar. Yayınınızda, diğer şeylerin yanı sıra, zayıflıkların duvar kağıtlarını açıklarsınız.
Araştırmacılar, güvenlik yamaları görüntülenene kadar aracı kullanmamalarını önermezler. Alternatif olarak, yöneticiler erişimi sınırlayabilir ve PHP kodunun yürütülmesini yasaklayabilir. Ancak, bu sadece tam bir güvenlik sunmayan geçici korumadır.
(DES)