Открытый PHP-пакет Voyager столкнулся с тремя опасными уязвимостями, позволяющими выполнять произвольный код на сервере буквально одним нажатием. Исследователь Sonar по имени Янив Низри обратил внимание на проблемы, влияющие на функцию загрузки и обработки файлов, а также на модуль, отвечающий за динамическое взаимодействие внутри административной панели.
При наличии учётной записи Voyager достаточно кликнуть по вредоносной ссылке – и сервер начинает обрабатывать вредоносный код, замаскированный под обычное изображение или видео. Подобные атаки усложняются дополнительной возможностью скрывать опасный скрипт в полиглот-файлах, которые выглядят безобидно, но позволяют загружать вредоносный PHP-код.
Набор уязвимостей получил идентификаторы CVE-2024-55417 , CVE-2024-55416 и CVE-2024-55415 . Первая проблема заключается в обходе проверки MIME-типов и возможности записывать файлы в произвольные директории. Вторая даёт шанс запустить JavaScript, если пользователь Voyager нажимает на вредоносную ссылку в панели “компаса”. Третья позволяет похитить и удалить произвольные файлы, что даёт дополнительную свободу для атакующих. В сочетании с уязвимостью XSS, удаление или выгрузка конфиденциальных данных становится реалистичным сценарием, если удастся заманить человека с правами в системе кликнуть на специальный URL.
Ситуация осложняется тем, что официальный патч до сих пор не опубликован, хотя данные о проблемах переданы разработчикам в середине сентября 2024 года. По последним сообщениям сообщества, сроки выхода обновления остаются неопределёнными.
В конце прошлого года уже наблюдался всплеск опасных ошибок в популярных открытых проектах, когда в ряде библиотек для Python и JavaScript обнаружились аналогичные уязвимости. По мнению многих специалистов в области кибербезопасности, практика тщательного аудита исходного кода должна усиливаться, чтобы подобные проблемы получали быстрое исправление. Распространение критически важных проектов требует более жёсткого подхода к тестированию, особенно с учётом роста атак на цепочку поставок.
Разработчикам, использующим Voyager, рекомендуется проявлять осторожность и временно ограничить доступ к функциям загрузки файлов, а также внимательно проверять исходные коды. Усиленный мониторинг вызывает рост интереса к новым инструментам анализа уязвимостей, но без своевременных исправлений риск остаётся высоким.
В открытом сообществе всё чаще звучат призывы к распределённой системе проверки кода, которая снизит вероятность подобных сбоев в будущем. На фоне новых случаев атак на репозитории исходного кода и внедрения вредоносных пакетов, осторожность при работе с любыми открытыми библиотеками становится ключевой мерой защиты.
При отсутствии актуальных обновлений рекомендуется воздерживаться от полноценного использования Voyager в чувствительных проектах. Организации, внедрившие пакет, всё чаще усиливают внутренние проверки, внедряя дополнительные слои защиты и отслеживая попытки несанкционированной активности.
Избавиться от подобных уязвимостей помогают ограничения прав, сегментация сети и регулярный анализ логов, что также позволяет вовремя заметить попытки загрузки опасных файлов. Выполненные действия окажутся особенно важными, пока не будет выпущен официальный патч.