Katalog CVE

CVE-2026-44262

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Scramble generuje dokumentację API dla projektów Laravel. W wersjach od 0.13.2 do przed 0.13.22, gdy punkty końcowe dokumentacji są publicznie dostępne, a reguły walidacji odnoszą się do danych kontrolowanych przez użytkownika, dostarczone dane mogą być oceniane podczas generowania dokumentacji, co prowadzi do wykonania dowolnego kodu PHP w kontekście aplikacji.

Ocena ryzyka

Podatność ta może prowadzić do wykonania złośliwego kodu PHP, co stwarza poważne zagrożenie dla bezpieczeństwa aplikacji i danych użytkowników. Organizacje powinny być świadome ryzyka związanego z publicznie dostępnymi punktami końcowymi dokumentacji.

Rekomendacja

Zaleca się aktualizację do wersji 0.13.22 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto ograniczyć dostęp do punktów końcowych dokumentacji tylko dla zaufanych użytkowników.

Oryginalny opis (angielski, źródło NVD)

Scramble generates API documentation for Laravel project. From 0.13.2 to before 0.13.22, when documentation endpoints are publicly accessible and validation rules reference user-controlled input, request supplied data may be evaluated during documentation generation, leading to execution of arbitrary PHP code in the application context. This vulnerability is fixed in 0.13.22.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS