
Tiga kelemahan keamanan telah diungkapkan dalam paket PHP open-source yang dapat dieksploitasi oleh penyerang untuk mencapai eksekusi kode jarak jauh satu klik pada instance yang terkena dampak.
“Ketika pengguna Voyager yang diautentikasi mengklik tautan berbahaya, penyerang dapat menjalankan kode sewenang-wenang di server,” kata peneliti Sonar Yaniv Nizry dalam sebuah artikel yang diterbitkan awal pekan ini.

Masalah yang diidentifikasi, yang masih belum ditandingi hingga saat ini meskipun pengungkapan yang bertanggung jawab pada 11 September 2024, tercantum di bawah ini –
- CVE-2024-55417-File yang sewenang-wenang Tulis kerentanan di titik akhir “/admin/media/unggah”
- CVE-2024-55416-Kerentanan scripting lintas-situs (XSS) yang dipantulkan dalam titik akhir “/admin/kompas”
- CVE-2024-55415-Kebocoran file yang sewenang-wenang dan kerentanan penghapusan
Penyerang jahat dapat memanfaatkan fitur unggahan media Voyager untuk mengunggah file jahat dengan cara yang memotong verifikasi tipe mime, dan memanfaatkan file polyglot yang muncul sebagai gambar atau video tetapi berisi kode PHP yang dapat dieksekusi untuk menipu server ke dalam memprosesnya sebagai sebagai skrip PHP, dengan demikian menghasilkan eksekusi kode jarak jauh.
https://www.youtube.com/watch?v=QLCRPCXECEC
Kerentanan juga dapat dirantai dengan CVE-2024-55416, mengangkatnya menjadi ancaman kritis yang mengarah pada eksekusi kode ketika seorang korban mengklik tautan berbahaya.

“Ini berarti bahwa jika pengguna yang diautentikasi mengklik tautan yang dibuat khusus, kode javascript sewenang -wenang dapat dieksekusi,” Nizry menjelaskan. “Akibatnya, penyerang dapat melakukan tindakan selanjutnya dalam konteks korban.”
CVE-2024-55415, di sisi lain, menyangkut cacat dalam sistem manajemen file yang memungkinkan aktor ancaman untuk menghapus file sewenang-wenang dari sistem, atau mengeksploitasinya bersamaan dengan kerentanan XSS untuk mengekstrak konten file.
Dengan tidak adanya perbaikan, pengguna disarankan untuk berhati -hati saat menggunakan proyek dalam aplikasi mereka.