1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. PHPのフレームワーク Laravelで2件の重大なXSS脆弱性(CVE-2024-13918、 CVE-2024-13919)

PHPのフレームワーク Laravelで2件の重大なXSS脆弱性(CVE-2024-13918、 CVE-2024-13919)

セキュリティニュース

投稿日時: 更新日時:

PHPのフレームワーク Laravelで2件の重大なXSS脆弱性(CVE-2024-13918、 CVE-2024-13919)

SBA Researchのセキュリティ研究者であるFabian Funder氏とPhilipp Adelsberger氏は、PHPのフレームワーク Laravelにおける2件の反射型XSS(クロスサイトスクリプティング)脆弱性を発見しました。すでに修正パッチがリリースされているのでバージョンアップして対応する事をお勧めします。

影響を受けるバージョン

Laravel 11.9.0〜11.35.1 かつ

デバッグモードがAPP_DEBUG=trueの場合にのみ影響。

対策バージョン

バージョン11.36.0

緩和策

バージョン11.36.0へアップデートできない場合は、デバッグモードをAPP_DEBUG=false に変更。

脆弱性 CVE-2024-13918とCVE-2024-13919の概要

デバッグ モードのエラー ページでのリクエスト パラメータのエンコードが不適切であるため、反射型クロスサイト スクリプティングの影響を受けやすくなります。

攻撃者は、悪意のあるJavaScriptコードを含むURLを生成し、ユーザーにこのリンクをクリックさせることで、エラーが発生した場合にLaravelのエラーページに悪意のあるコードが表示されます。これによりユーザーのセッションやCookie、その他機密情報を窃取する事が可能になります。

 

関連記事

トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散 Default Thumbnail東芝の複合機「e-STUDIO」の複数のシリーズで脆弱性 Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) Brave groupがVtuber オーディションでの個人情報 漏洩に関する調査結果を公表|セキュリティインシデントの事例Brave groupがVtuber オーディションでの個人情報 漏洩に関する調査結果を公表|セキュリティインシデントの事例 ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577) シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082)シャープ製ルーターで複数の脆弱性(CVE-2024-45721、CVE-2024-46873、CVE-2024-47864、CVE-2024-52321、CVE-2024-46873、CVE-2024-52321、CVE-2024-54082) PHPで複数の脆弱性が修正対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925)PHPで複数の脆弱性が修正 対象者はアップデートを(CVE-2024-4577,CVE-2024-9026,CVE-2024-8927,CVE-2024-8926,CVE-2024-8925) Default ThumbnailPHPの脆弱性でWindows サーバーでリモート コードを実行される可能性(CVE-2024-4577) OpenSSHが認証されていないリモート コード実行に対して深刻な脆弱性(regreSSHion 、CVE-2024-6387)OpenSSHで認証されていないリモート コードを実行される深刻な脆弱性(regreSSHion 、CVE-2024-6387)