【安全资讯】Laravel管理包Voyager存在一键远程代码执行漏洞

概要：

近日，安全研究人员发现开源PHP包Voyager存在三处漏洞，这些漏洞可能被用于远程代码执行攻击。由于这些问题尚未修复，攻击者可以利用经过身份验证的Voyager用户点击恶意链接来实施攻击。此事件引发了对网络安全的广泛关注，尤其是在使用Laravel框架的开发者中。

主要内容：

Voyager是一个流行的Laravel管理工具，广泛应用于中小型企业和开发者。SonarSource的研究团队在例行扫描中发现了第一个漏洞，允许攻击者通过绕过MIME类型验证上传恶意文件。攻击者可以构造一个看似图像或视频的多用途文件，其中包含可执行的PHP代码，从而在服务器上实现远程代码执行。

第二个漏洞涉及Voyager的/admin/compass端点，未能正确清理用户输入，允许攻击者在弹出消息中注入JavaScript代码。如果经过身份验证的管理员点击恶意链接，脚本将在其浏览器中执行，可能导致攻击者以其名义进行操作，包括升级到远程代码执行。

第三个漏洞则是文件管理系统中的缺陷，攻击者可以操纵文件路径，删除或访问服务器上的任意文件。这可能导致服务中断、关键文件丢失或敏感信息泄露。SonarQube团队在过去的几个月中多次尝试与Voyager维护者联系，但未能获得回应。

鉴于这些漏洞尚未修复，建议Voyager用户限制访问权限，仅允许可信用户使用，并限制“browse_media”权限以防止未经授权的文件上传。同时，建议实施基于角色的访问控制（RBAC）以减少暴露风险。