Katalog CVE

CVE-2025-53833

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

LaRecipe to aplikacja umożliwiająca użytkownikom tworzenie dokumentacji z użyciem Markdown w aplikacji Laravel. Wersje przed 2.8.1 są podatne na atak typu Server-Side Template Injection (SSTI), co może prowadzić do zdalnego wykonania kodu (RCE) w podatnych konfiguracjach.

Ocena ryzyka

Atakujący mogą wykonywać dowolne polecenia na serwerze, uzyskiwać dostęp do wrażliwych zmiennych środowiskowych oraz eskalować uprawnienia w zależności od konfiguracji serwera, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.8.1 lub nowszej, aby otrzymać poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

LaRecipe is an application that allows users to create documentation with Markdown inside a Laravel app. Versions prior to 2.8.1 are vulnerable to Server-Side Template Injection (SSTI), which could potentially lead to Remote Code Execution (RCE) in vulnerable configurations. Attackers could execute arbitrary commands on the server, access sensitive environment variables, and/or escalate access depending on server configuration. Users are strongly advised to upgrade to version v2.8.1 or later to receive a patch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS