Cybersecurity -onderzoekers hebben een serieus beveiligingsprobleem ontdekt waarmee gelekte Laravel App_Keys kan worden bewapend om externe code -uitvoeringsmogelijkheden op honderden applicaties te krijgen.
“Laravel’s App_Key, essentieel voor het coderen van gevoelige gegevens, wordt vaak publiekelijk gelekt (bijv. Github),” zei Gitguardian. “Als aanvallers toegang krijgen tot deze sleutel, kunnen ze een deserialisatiefout exploiteren om willekeurige code op de server uit te voeren – gegevens en infrastructuur in gevaar brengen.”
Het bedrijf zei, in samenwerking met Synacktiv, dat het in staat was om meer dan 260.000 App_Keys uit GitHub te extraheren van 2018 tot 30 mei 2025, wat in het proces meer dan 600 kwetsbare Laravel -toepassingen identificeerde. Gitguardian zei dat het meer dan 10.000 unieke App_Keys in GitHub waargenomen, waarvan 400 App_Keys als functioneel werden gevalideerd.
App_Key is een willekeurige 32-byte coderingssleutel die wordt gegenereerd tijdens de installatie van Laravel. Geslagen in het .env -bestand van de toepassing, wordt het gebruikt om gegevens te coderen en te decoderen, veilige, willekeurige strings te genereren, gegevens te ondertekenen en te verifiëren en unieke authenticatietokens te maken, een cruciaal beveiligingscomponent te maken.
Gitguardian merkte op dat de huidige implementatie van Laravel van decrypt () een beveiligingsprobleem introduceert waarbij het automatisch gedecodeerde gegevens deserialiseert, waardoor de deur wordt geopend voor mogelijke externe code -uitvoering.
“Specifiek in Laravel -applicaties, als aanvallers de app_key verkrijgen en de functie decrypt () kunnen oproepen met een kwaadwillig vervaardigde lading, kunnen ze externe code -uitvoering bereiken op de Laravel -webserver,” zei beveiligingsonderzoeker Guillaume Valadon.
“Deze kwetsbaarheid werd voor het eerst gedocumenteerd met CVE-2018-15133, die laravel-versies vóór 5.6.30 beïnvloedde. Deze aanvalsvector blijft echter bestaan in nieuwere Laravel-versies wanneer ontwikkelaars expliciet sessieserialisatie in cookies configureren in cookies met behulp van de sessies_driver = cookie-instelling, zoals aangetoond door CVE-20245556.”
Het is vermeldenswaard dat CVE-2018-15133 in het wild is geëxploiteerd door dreigingsacteurs geassocieerd met de AndroxGH0st-malware, na het scannen van internet op laravel-applicaties met verkeerd geconfigureerde .ENV-bestanden.
Verdere analyse heeft aangetoond dat 63% van de APP_KEY-exposities afkomstig zijn van .Env-bestanden (of hun varianten) die doorgaans andere waardevolle geheimen bevatten, zoals cloudopslagtokens, database-referenties en geheimen geassocieerd met e-commerceplatforms, klantenondersteuningstools en kunstmatige intelligentie (AI) -services.
Wat nog belangrijker is, is dat ongeveer 28.000 APP_KEY- en APP_URL -paren gelijktijdig zijn blootgesteld op GitHub. Hiervan is ongeveer 10% geldig gevonden, waardoor 120 applicaties kwetsbaar zijn voor triviale aanvallen op afstandscode -uitvoering.
Gezien het feit dat de APP_URL -configuratie de basis -URL van de applicatie aangeeft, maakt het blootleggen van zowel App_URL als App_Key een krachtige aanvalsvector die dreigingsactoren kunnen gebruiken om rechtstreeks toegang te krijgen tot de app, sessiekoekjes op te halen en ze te proberen te decoderen met behulp van de blootgestelde sleutel.
Simpelweg het schrobben van geheimen van repositories is niet genoeg-vooral wanneer ze al zijn gekloneerd of in de cache door tools van derden zijn gekloneerd. Wat ontwikkelaars nodig hebben, is een duidelijk rotatiepad, ondersteund door monitoring dat elke toekomst opnieuw verschijnt opnieuw verschijnt van gevoelige snaren over CI -stammen, beeldbuilds en containerlagen.
“Ontwikkelaars moeten nooit eenvoudig blootgestelde app_keys uit repositories verwijderen zonder de juiste rotatie,” zei Gitguardian. “De juiste reactie omvat: het onmiddellijk roteren van de gecompromitteerde App_Key, alle productiesystemen bijwerken met de nieuwe sleutel en het implementeren van continue geheime monitoring om toekomstige blootstellingen te voorkomen.”
Dit soort incidenten komen ook overeen met een bredere klasse van PHP -deserialisatie -kwetsbaarheden, waarbij tools zoals PHPGGC aanvallers helpen gadgetketens te maken die onbedoeld gedrag veroorzaken tijdens het laden van objecten. Bij gebruik in Laravel -omgevingen met gelekte toetsen, kunnen dergelijke gadgets volledige RCE bereiken zonder de logica of routes van de app te hoeven doorbreken.
De openbaarmaking komt nadat Gitguardian onthulde dat het een “verbluffende 100.000 geldige geheimen” ontdekte in Docker -afbeeldingen die publiekelijk toegankelijk zijn op het DockerHub -register. Dit omvat geheimen geassocieerd met Amazon Web Services (AWS), Google Cloud en GitHub -tokens.
Een nieuwe binarly -analyse van meer dan 80.000 unieke Docker -afbeeldingen van 54 organisaties en 3.539 repositories heeft ook 644 unieke geheimen ontdekt die generieke referenties, JSON Web Tokens, HTTP Basic Authorization Header, Google Cloud API Key, AWS Access ToKens en Circleci Api TOKEN, onder anderen omvatten.
“Secrets verschijnen in een breed scala aan bestandstypen, waaronder broncode, configuratiebestanden en zelfs grote binaire bestanden, gebieden waar veel bestaande scanners tekortschieten,” zei het bedrijf. “Bovendien vertegenwoordigt de aanwezigheid van volledige GIT -repositories in containerafbeeldingen een ernstig en vaak over het hoofd gezien beveiligingsrisico.”
Maar dat is niet alles. De snelle acceptatie van Model Context Protocol (MCP) om agentische workflows in enterprise-driven AI-applicaties mogelijk te maken, heeft gloednieuwe aanvalsvectoren geopend-een betreffende een lekkage van geheimen van MCP-servers gepubliceerd naar GitHub-repositories.
In het bijzonder ontdekte Gitguardian dat 202 van hen ten minste één geheim lekte, goed voor 5,2% van alle repositories – een aantal waarvan het bedrijf zei dat het “iets hoger is dan het 4,6% optredens dat werd waargenomen op alle openbare repositories,” waardoor MCP -servers een “nieuwe bron van geheime lekken” zijn.
Terwijl dit onderzoek zich richt op Laravel, past hetzelfde wortelprobleem – waargestelde geheimen in openbare repositories – toe op andere stapels. Organisaties moeten gecentraliseerde geheime scannen, laravel-specifieke verhardingsgidsen en beveiligde per-designpatronen verkennen voor het beheren van .Env-bestanden en containersecrets in kaders.
