Berita Informasi

Kerentanan Pada Template Admin Laravel Voyager Yang Populer

Tiga kerentanan yang ditemukan pada packagePHP open-source Voyager di Laravel dapat dimanfaatkan untuk melancarkan serangan eksekusi kode jarak jauh. Sampai saat ini, masalah tersebut belum diperbaiki dan memungkinkan untuk dieksploitasi terhadap pengguna Voyager yang terautentikasi mengklik tautan berbahaya. Peneliti kerentanan di SonarSource, mengatakan bahwa mereka mencoba melaporkan kelemahan tersebut kepada pemelihara Voyager, tetapi tidak mendapatkan balasan dalam jangka waktu 90 hari yang telah diberikan perusahaan sesuai dengan kebijakan pengungkapan kerentanannya.

Detail kerentanan

Tim SonarQube Cloud menemukan kerentanan pertama di Voyager berupa penulisan file sembarangan, selama pemindaian rutin mereka. Melihat lebih dekat pada protek tersebut, mereka menemukan masalah tambahan yang dapat digabungkan untuk menjalankan eksekusi kode jarak jauh dengan satu klik  pada instance Voyager yang dapat dijangkau.

Berikut rangkuman dari kerentanan yang ditemukan:

 CVE-2024-55417– Fitur unggah media Voyager memungkinkan penyerang mengunggah file berbahaya yang mampu melewati verifikasi dengan tipe MIME. Dengan menyisipkan kode PHP dalam file polyglot yang menyerupai gambar atau video, penyerang dapat mengeksekusi kode jarak jauh jika  file tersebut diproses di server.

CVE-2024-55416 – Endpoint /admin/compass di Voyager tidak memfilter input pengguna dengan baik, memungkinkan penyerang untuk menyuntikkan JavaScript ke dalam pesan popup. Jika admin yang telah login mengklik tautan berbahaya, skrip akan berjalan di browser mereka, berpotensi memberi penyerang kendali untuk bertindak atas nama admin, termasuk meningkatkan akses hingga eksekusi kode jarak jauh.

CVE-2024-55415 – Kerentanan dalam sistem manajemen file memungkinkan penyerang memodifikasi jalur file, sehingga dapat mengakses atau menghapus file secara tidak sah di server. Dengan eksploitasi ini, penyerang bisa mengganggu layanan, menghapus data penting, atau mencuri informasi sensitif.

Peneliti dari SonarQube Cloud melaporkan tiga kerentanan kepada pemelihara Voyager melalui email dan GitHub sejak 11 September 2024, tetapi tidak mendapat tanggapan. Selama periode pengungkapan 90 hari, mereka berulang kali mencoba menghubungi pemelihara dan mengingatkan bahwa tanggal pengungkapan publik semakin dekat. Mereka juga mengajukan laporan keamanan melalui GitHub pada 28 November, memberi tahu pemelihara bahwa batas waktu 90 hari telah berakhir, dan mereka akan segera merilis detail teknis secara publik.

Dampak dan rekomendasi:

Voyager merupakan template admin siap pakai yang digunakan oleh pengembang Laravel dalam mengelola aplikasi mereka. Biasanya digunakan oleh perusahaan pengembangan web, startup, pengembang freelance, penggemar Laravel, dan umumnya bisnis kecil hingga menengah yang menggunakan Laravel untuk alat internal atau aplikasi basis CMS.

Voyager sangat popular karena telah di fork sebanyak 2.700 kali di GitHub, menerima lebih dari 11.800 bintang, dan mencatat jutaan unduhan. Namun, popularitasnya tidak diimbangi dengan penanganan bug yang cepat dan efektif. Mengingat telah ditemukannya tiga celah oleh tim SonarQube yang masih belum diperbaiki, pengguna Voyager disarankan untuk membatasi akses hanya kepada pengguna terpercaya, menonaktifkan izin “browser_media” guna mencegah unggahan file illegal, serta menerapkan role-based access control (RBAC) untuk mengurangi risiko. 

Selanjutnya langkah keamanan di tingkat server, seperti menonaktifkan eksekusi file PHP, menerapkan validasi ketat terhadap file tipe MIME untuk mencegah file polyglot, dan rutin memantau log guna mendeteksi aktivitas mencurigakan. Jika keamanan menjadi prioritas utama, sebaiknya hindari penggunaan Voyager di lingkungan produksi hingga patch resmi tersedia atau pertimbangkan untuk beralih ke template admin Laravel lainnya.

Sumber:
https://www.bleepingcomputer.com/news/security/laravel-admin-package-voyager-vulnerable-to-one-click-rce-flaw/
https://www.sonarsource.com/blog/the-tainted-voyage-uncovering-voyagers-vulnerabilities/
https://nvd.nist.gov/vuln/detail/CVE-2024-51417
https://nvd.nist.gov/vuln/detail/CVE-2024-55416
https://nvd.nist.gov/vuln/detail/CVE-2024-55415