CVE-2024-13919 adalah kerentanan Reflected Cross-Site Scripting (XSS) yang ditemukan pada framework Laravel versi 11.9.0 hingga 11.35.1. Kerentanan ini terjadi akibat kurangnya encoding yang tepat pada parameter rute di debug-mode error page. Hal ini memungkinkan penyerang untuk menyisipkan skrip berbahaya yang dapat dijalankan di browser pengguna. Eksploitasi kerentanan ini tergolong mudah, dapat dilakukan secara remote tanpa autentikasi, tetapi memerlukan interaksi dari pengguna.
Langkah Mitigasi:
Perbarui Laravel ke versi 11.36.0 atau lebih baru, karena versi ini telah memperbaiki kerentanan Reflected XSS yang disebabkan oleh mode debug. Nonaktifkan mode debug di produksi dengan mengatur APP_DEBUG=false pada file .env, serta gunakan validasi dan sanitasi input agar parameter rute tidak dieksploitasi. Terapkan encoding output dengan Blade ({{ }}) atau fungsi e(), serta gunakan Content Security Policy (CSP) untuk mencegah eksekusi skrip berbahaya. Lakukan audit keamanan berkala dan pantau log aplikasi untuk mendeteksi potensi eksploitasi secara dini.
Unduh Imbauan Keamanan CVE-2024-13919
Id-SIRTII/CC has the main duty to socialize with stake holders related to IT Security, to do an early monitoring and detection, give an early warning against threats to telecommunication networks from both inside and outside country, particularly in the security measures of network utilization, creating/performing/developing log files and statistics of Indonesian’s internet security.
