Laravel: PoC pubblico per lo sfruttamento della CVE-2024-13919 (AL06/250312/CSIRT-ITA)

Data:
12 Marzo 2025 12:42

Impatto Sistemico

Alto (72.82)

Sintesi

Disponibile un Proof of Concept (PoC) per la CVE-2024-13919 – già sanata – presente in Laravel, noto framework open source per lo sviluppo di applicazioni web. Tale vulnerabilità, qualora sfruttata, potrebbe permettere di eseguire codice JavaScript nel browser di un utente all’interno dell’origine dell’applicazione web interessata.

Tipologia

Data Manipulation
Information Leakage

Prodotti e versioni affette

Laravel, dalla versione 11.9.0 alla 11.35.1

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

CVE

CVE-ID
CVE-2024-13919

Riferimenti

https://github.com/sbaresearch/advisories/tree/public/2024/SBA-ADV-20241209-02_Laravel_Reflected_XSS_via_Route_Parameter_in_Debug-Mode_Error_Page

Change log

Versione	Note	Data
1.0	Pubblicato il 12-03-2025	12/03/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità.

CSIRT Toscana

CSIRT Toscana