A falha representada pelo CVE-2024-55661 permitia que utilizadores autenticados com acesso à dashboard do Pulse executassem código no servidor, podendo comprometer o sistema. De lembrar que o Laravel Pulse permite acesso por parte dos developers a insights sobre a performance da aplicação, fornecendo informação do uso e problemas.

A falha é no método remember(), acessível através dos componentes Livewire, e que pode ser explorado para executar

Ataque bem sucedido:

• alvo da chamada dado como uma função ou método estático

• alvo da chamada não conter parâmetros

Exemplo de PoC:

wire:click=”remember(‘\\Illuminate\\Support\\Facades\\Config::all’, ‘config’)”

Versões afetadas

Anteriores à 1.3.1

Mais informações: https://advisories.gitlab.com/pkg/composer/laravel/pulse/CVE-2024-55661/

Página oficial do laravel pulse: https://laravel.com/docs/11.x/pulse