CVE-2025-53833
KrytyczneStreszczenie
LaRecipe to aplikacja umożliwiająca użytkownikom tworzenie dokumentacji z użyciem Markdown w aplikacji Laravel. Wersje przed 2.8.1 są podatne na atak typu Server-Side Template Injection (SSTI), co może prowadzić do zdalnego wykonania kodu (RCE) w podatnych konfiguracjach.
Ocena ryzyka
Atakujący mogą wykonywać dowolne polecenia na serwerze, uzyskiwać dostęp do wrażliwych zmiennych środowiskowych oraz eskalować uprawnienia w zależności od konfiguracji serwera, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.
Rekomendacja
Zaleca się aktualizację do wersji 2.8.1 lub nowszej, aby otrzymać poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
LaRecipe is an application that allows users to create documentation with Markdown inside a Laravel app. Versions prior to 2.8.1 are vulnerable to Server-Side Template Injection (SSTI), which could potentially lead to Remote Code Execution (RCE) in vulnerable configurations. Attackers could execute arbitrary commands on the server, access sensitive environment variables, and/or escalate access depending on server configuration. Users are strongly advised to upgrade to version v2.8.1 or later to receive a patch.

