Výzkumníci upozornili na závažnou zranitelnost v aplikacích postavených na PHP frameworku Laravel. Laravel se používá například při vývoji interních CRM, v e-shopech a rezervečních systémech a různých portálech neziskových organizací či škol.

Útočníci mohou zneužít veřejně uniklé konfigurační klíče APP_KEY (např. z GitHubu) k vzdálenému spuštění libovolného kódu. Z více než 260 000 APP_KEY získaných z GitHubu bylo ověřeno, že přes 600 aplikací je zranitelných. Zhruba 63 % úniků pochází z .env souborů, které často obsahují i další citlivé údaje (např. přístupové údaje k databázím nebo cloudovým službám).

Zranitelnost souvisí s dříve známou chybou CVE-2018-15133, ale může se projevit i v novějších verzích Laravelu při použití SESSION_DRIVER=cookie, jak popisuje nová zranitelnost CVE-2024-55556. GitGuardian doporučuje okamžitou výměnu klíčů, aktualizaci produkčních systémů a nasazení nástrojů pro průběžné monitorování úniků tajných údajů v CI/CD procesech a kontejnerových obrazech.