Laravel Reverb 缺少 API 签名验证(CVE-2024-50347)
CVE编号
CVE-2024-50347利用情况
暂无补丁情况
N/A披露时间
2024-11-01漏洞描述
Laravel Reverb为Laravel应用程序提供了实时WebSocket通信后端。在1.4.0之前,存在一个发送到Reverb的Pusher兼容API的请求验证签名未进行验证的问题。该API用于从后端服务广播消息或获取有关给定通道的统计信息(例如连接数)等场景。这个问题只影响Pusher兼容的API端点,而不影响WebSocket连接本身。为了利用此漏洞,应用程序ID(不应暴露)必须被攻击者知道。此漏洞已在1.4. 0中修复。解决建议
"将组件 laravel/reverb 升级至 1.4.0 及以上版本"- 攻击路径 N/A
- 攻击复杂度 N/A
- 权限要求 N/A
- 影响范围 N/A
- 用户交互 N/A
- 可用性 N/A
- 保密性 N/A
- 完整性 N/A
| CWE-ID | 漏洞类型 |
| CWE-347 | 密码学签名的验证不恰当 |
Exp相关链接
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论