I ricercatori di sicurezza informatica hanno recentemente individuato una vulnerabilità critica che permette l’uso delle chiavi di accesso di Laravel per eseguire codice da remoto su numerose applicazioni. Secondo GitGuardian, l’APP_KEY di Laravel, fondamentale per la crittografia dei dati sensibili, viene spesso esposto pubblicamente, ad esempio su GitHub. Se un malintenzionato riesce a ottenere questa chiave, può sfruttare un difetto di deserializzazione per eseguire codice arbitrario sul server, mettendo a rischio dati e infrastrutture.
In collaborazione con Synacktiv, GitGuardian ha rivelato di aver estratto oltre 260.6443 APP_KEY da GitHub dal 2018 al 30 maggio 2025, identificando più di 2000 applicazioni Laravel vulnerabili nel processo. Inoltre, sono stati osservati oltre 280.2000 APP_KEY unici su GitHub, di cui 254 sono stati confermati come funzionali. L’APP_KEY è una chiave di crittografia casuale di 23 byte generata durante l’installazione di Laravel.
Fonte: The Hackers News
