Критические 0day-бреши в Voyager: угроза цепных атак и внедрения скриптов

Открытый PHP-пакет Voyager столкнулся с тремя опасными уязвимостями, позволяющими выполнять произвольный код на сервере буквально одним нажатием. Исследователь Sonar по имени Янив Низри обратил внимание на проблемы, влияющие на функцию загрузки и обработки файлов, а также на модуль, отвечающий за динамическое взаимодействие внутри административной панели.

При наличии учётной записи Voyager достаточно кликнуть по вредоносной ссылке — и сервер начинает обрабатывать вредоносный код, замаскированный под обычное изображение или видео. Подобные атаки усложняются дополнительной возможностью скрывать опасный скрипт в полиглот-файлах, которые выглядят безобидно, но позволяют загружать вредоносный PHP-код.

Набор уязвимостей получил идентификаторы CVE-2024-55417 , CVE-2024-55416 и CVE-2024-55415 . Первая проблема заключается в обходе проверки MIME-типов и возможности записывать файлы в произвольные директории. Вторая даёт шанс запустить JavaScript, если пользователь Voyager нажимает на вредоносную ссылку в панели «компаса». Третья позволяет похитить и удалить произвольные файлы, что даёт дополнительную свободу для атакующих. В сочетании с уязвимостью XSS, удаление или выгрузка конфиденциальных данных становится реалистичным сценарием, если удастся заманить человека с правами в системе кликнуть на специальный URL.

Ситуация осложняется тем, что официальный патч до сих пор не опубликован, хотя данные о проблемах переданы разработчикам в середине сентября 2024 года. По последним сообщениям сообщества, сроки выхода обновления остаются неопределёнными.

В конце прошлого года уже наблюдался всплеск опасных ошибок в популярных открытых проектах, когда в ряде библиотек для Python и JavaScript обнаружились аналогичные уязвимости. По мнению многих специалистов в области кибербезопасности, практика тщательного аудита исходного кода должна усиливаться, чтобы подобные проблемы получали быстрое исправление. Распространение критически важных проектов требует более жёсткого подхода к тестированию, особенно с учётом роста атак на цепочку поставок.

Разработчикам, использующим Voyager, рекомендуется проявлять осторожность и временно ограничить доступ к функциям загрузки файлов, а также внимательно проверять исходные коды. Усиленный мониторинг вызывает рост интереса к новым инструментам анализа уязвимостей, но без своевременных исправлений риск остаётся высоким.

В открытом сообществе всё чаще звучат призывы к распределённой системе проверки кода, которая снизит вероятность подобных сбоев в будущем. На фоне новых случаев атак на репозитории исходного кода и внедрения вредоносных пакетов, осторожность при работе с любыми открытыми библиотеками становится ключевой мерой защиты.

При отсутствии актуальных обновлений рекомендуется воздерживаться от полноценного использования Voyager в чувствительных проектах. Организации, внедрившие пакет, всё чаще усиливают внутренние проверки, внедряя дополнительные слои защиты и отслеживая попытки несанкционированной активности.

Избавиться от подобных уязвимостей помогают ограничения прав, сегментация сети и регулярный анализ логов, что также позволяет вовремя заметить попытки загрузки опасных файлов. Выполненные действия окажутся особенно важными, пока не будет выпущен официальный патч.