{"id":10887,"date":"2025-07-16T18:56:40","date_gmt":"2025-07-17T00:56:40","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&#038;p=10887"},"modified":"2025-07-16T19:10:04","modified_gmt":"2025-07-17T01:10:04","slug":"alerta-2025-60-vulnerabilidad-critica-en-componente-de-laravel-php","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2025-60-vulnerabilidad-critica-en-componente-de-laravel-php\/","title":{"rendered":"Alerta 2025-60 Vulnerabilidad Critica en componente de Laravel PHP"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Producto(s) afectado(s):&nbsp;<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>binarytorch\/larecipe\u00a0(<a href=\"https:\/\/github.com\/advisories?query=ecosystem%3Acomposer\">Composer<\/a>)\u00a0 &lt; 2.8.1<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Descripci\u00f3n<\/h2>\n\n\n\n<p>Se ha reportado una vulnerabilidad altamente cr\u00edtica de Server-Side Template Injection (SSTI)<a id=\"_ftnref1\" href=\"#_ftn1\">[1]<\/a> en la librer\u00eda LaRecipe, componente para documentaci\u00f3n utilizado por el framework de desarrollo Laravel de  PHP, potencialmente esta vulnerabilidad prod\u00eda afectar a millones de usuarios. La falla <strong>CVE-2025-53833 (CVSSv3 10) <\/strong>\u00a0puede provocar la ejecuci\u00f3n remota de c\u00f3digo (RCE), lo que podr\u00eda permitir a los atacantes tomar el control total de los servidores que ejecutan la versi\u00f3n afectada de LaRecipe.<\/p>\n\n\n\n<p>LaRecipe es un paquete de Laravel basado en c\u00f3digo que permite a los desarrolladores crear y gestionar f\u00e1cilmente documentaci\u00f3n atractiva directamente en sus aplicaciones. Se integra a la perfecci\u00f3n en el ecosistema de Laravel y admite la creaci\u00f3n de contenido basado en Markdown, el control de versiones y la personalizaci\u00f3n de temas. Con m\u00e1s de 2,3 millones de descargas, LaRecipe es una de las herramientas favoritas de los desarrolladores de Laravel para crear documentaci\u00f3n integrada en la aplicaci\u00f3n. Sin embargo, su popularidad podr\u00eda convertirla en un blanco f\u00e1cil para la explotaci\u00f3n.<\/p>\n\n\n\n<p>La causa principal de CVE-2025-53833 es una vulnerabilidad SSTI, lo que significa que los atacantes pueden inyectar c\u00f3digo arbitrario en las plantillas del servidor de LaRecipe. Una vez renderizado, este c\u00f3digo puede ejecutarse con los mismos privilegios que la propia aplicaci\u00f3n.<\/p>\n\n\n\n<p>Dependiendo de la configuraci\u00f3n del servidor de destino, los atacantes podr\u00edan:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Ejecutar comandos arbitrarios en el servidor<\/li>\n\n\n\n<li>Acceda a variables .env confidenciales, como credenciales de base de datos y claves API<\/li>\n\n\n\n<li>Aumentar los privilegios, lo que podr\u00eda permitir obtener acceso root o administrativo<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Soluci\u00f3n:<\/h2>\n\n\n\n<p>Se recomienda a los desarrolladores y equipos de DevOps que actualicen a LaRecipe&nbsp;<a href=\"https:\/\/github.com\/saleem-hadad\/larecipe\/releases\/tag\/v2.8.1\" target=\"_blank\" rel=\"noreferrer noopener\">v2.8.1<\/a>&nbsp;o posterior, que contiene la correcci\u00f3n necesaria para eliminar esta vulnerabilidad SSTI.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Informaci\u00f3n adicional:<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li>https:\/\/securityonline.info\/cve-2025-53833-cvss-10-critical-ssti-flaw-in-larecipe-threatens-millions-of-laravel-apps\/<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<p><a href=\"#_ftnref1\" id=\"_ftn1\">[1]<\/a> La inyecci\u00f3n de plantilla del lado del servidor es cuando un atacante puede usar la sintaxis de plantilla nativa para inyectar una carga maliciosa en una plantilla, que luego se ejecuta en el lado del servidor <a href=\"https:\/\/portswigger.net\/web-security\/server-side-template-injection\">https:\/\/portswigger.net\/web-security\/server-side-template-injection<\/a> .<\/p>\n","protected":false},"featured_media":10888,"template":"","class_list":["post-10887","publicacion","type-publicacion","status-publish","has-post-thumbnail","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"60","traffic_light_protocol":"White"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":4,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10887\/revisions"}],"predecessor-version":[{"id":10894,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/10887\/revisions\/10894"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media\/10888"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=10887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}