Ignition

Die Schwachstelle steckt in Ignition, einer Komponente zur Fehlerdarstellung, die in Laravel und weiteren Produkten eingesetzt wird. Ursache ist ein unsicherer Umgang mit den Funktionen file_get_contents() und file_put_contents(), über die Dateien gelesen und geschrieben werden. Dadurch kann ein Angreifer aus der Ferne und ohne gültige Zugangsdaten beliebigen Programmcode auf dem Server zur Ausführung bringen und so die Kontrolle über die betroffene Anwendung übernehmen. Ausnutzbar ist der Fehler allerdings nur, wenn die Anwendung im sogenannten Debug-Modus betrieben wird – einer Betriebsart, die eigentlich der Fehlersuche während der Entwicklung dient und auf produktiven Systemen abgeschaltet sein sollte. Betroffen sind damit vor allem öffentlich erreichbare Laravel-Installationen, bei denen der Debug-Modus versehentlich aktiv geblieben ist. Da keine Anmeldung nötig ist, lässt sich der Angriff unmittelbar über das Netz durchführen.