Специалистами по кибербезопасности выявлена критическая уязвимость в популярном WebSocket-сервере Laravel Reverb. Проблема, зарегистрированная в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-01045, позволяет злоумышленнику выполнить произвольный код на уязвимом сервере. Уязвимости присвоен идентификатор CVE-2026-23524. Производитель, Taylor Otwell, уже подтвердил проблему и выпустил патч.
Детали уязвимости
Уязвимость затрагивает функцию "unserialize()" в Laravel Reverb версий до 1.7.0. Эта функция отвечает за десериализацию данных, то есть за восстановление объектов из последовательности байтов. Однако ее механизм содержит недостатки, классифицируемые как CWE-502, или "Десериализация ненадежных данных". В результате злоумышленник, действующий удаленно, может отправить специально сконструированные данные через WebSocket-соединение. При обработке этих данных возникает уязвимость, ведущая к выполнению произвольного кода (RCE) на сервере.
Оценка по методологии CVSS подчеркивает исключительную опасность данной уязвимости. Во-первых, базовая оценка по CVSS 2.0 составляет максимальные 10.0 баллов. Во-вторых, оценка по CVSS 3.1 достигает 9.8 баллов из 10 возможных. Обе оценки присваивают уязвимости критический уровень опасности. Вектор атаки оценивается как сетевой (AV:N), не требующий специальных условий (AC:L) или аутентификации (PR:N). Кроме того, успешная эксплуатация дает злоумышленнику полный контроль над системой, так как затрагивает конфиденциальность, целостность и доступность данных (C:H/I:H/A:H).
Эксплуатация уязвимости основана на манипулировании структурами данных. Злоумышленник отправляет вредоносный сериализованный объект, который при десериализации заставляет приложение выполнить произвольный код. Этот код может выступать в качестве полезной нагрузки (payload) для различных целей. Например, злоумышленник может установить программу-шифровальщик (ransomware), создать бэкдор для постоянного доступа (persistence) или похитить конфиденциальную информацию. На момент публикации новости наличие публичных эксплойтов еще уточняется, однако высокая степень опасности делает эту уязвимость первоочередной целью для исследователей и потенциальных атакующих.
Laravel Reverb - это официальный WebSocket-сервер для экосистемы Laravel, предназначенный для обеспечения реального времени в приложениях. Его используют для чатов, live-уведомлений, обновления данных на панели управления без перезагрузки страницы. Следовательно, уязвимость затрагивает широкий спектр веб-приложений, от корпоративных порталов до интерактивных сервисов. Угроза особенно актуальна, поскольку для атаки не требуется аутентификация пользователя.
Производитель оперативно отреагировал на сообщение об уязвимости. Проблема была устранена в выпуске Laravel Reverb версии 1.7.0. Соответственно, единственным надежным способом устранения угрозы является немедленное обновление программного обеспечения до актуальной версии. Разработчики, использующие Reverb в своих проектах, должны проверить версию пакета и применить обновление как можно скорее. Подробная информация об исправлении опубликована в официальном бюллетене безопасности на GitHub.
Для проверки и обновления необходимо выполнить стандартную команду Composer в директории проекта: "composer update laravel/reverb". После обновления рекомендуется тщательно протестировать функциональность, связанную с WebSocket-соединениями. Кроме того, командам безопасности (SOC) стоит обратить внимание на подозрительную активность, связанную с процессами десериализации в логах приложений, использующих уязвимые версии Reverb. Подобные события могут указывать на попытки сканирования или эксплуатации.
Обнаружение этой уязвимости вновь поднимает вопрос о безопасности процессов десериализации в PHP-среде. Исторически подобные проблемы, например, в библиотеке PHPGGC, неоднократно приводили к серьезным инцидентам. Разработчикам рекомендуется в принципе избегать десериализации данных из непроверенных источников. Вместо этого следует использовать безопасные альтернативы, такие как JSON. Если же десериализация необходима, нужно применять строгую валидацию входящих данных и использовать безопасные, "белые" списки разрешенных классов.
В заключение, уязвимость в Laravel Reverb представляет собой серьезную угрозу для безопасности веб-приложений. Ее критический статус и простота эксплуатации требуют незамедлительных действий от администраторов и разработчиков. Своевременное обновление является ключевым методом защиты. В то же время данный случай служит важным напоминанием о необходимости постоянного аудита кода, особенно в компонентах, обрабатывающих внешние данные, и интеграции принципов безопасной разработки на всех этапах создания программного обеспечения.
Ссылки
- https://bdu.fstec.ru/vul/2026-01045
- https://www.cve.org/CVERecord?id=CVE-2026-23524
- https://github.com/laravel/reverb/security/advisories/GHSA-m27r-m6rx-mhm4
- https://laravel.com/docs/12.x/reverb#scaling
- https://github.com/laravel/reverb/commit/9ec26f8ffbb701f84920dd0bb9781a1797591f1a
