Kritische RCE-Lücke in Laravel Reverb (CVE-2026-23524)
⚠️ CVE-Referenzen:
CVE-2026-23524
Zusammenfassung
Ach du Scheiße, mal wieder eine kritische Sicherheitslücke in einem Laravel-Komponente. Dieses Mal betrifft es den Reverb-Websocket-Dienst, der unsachgemäß mit Daten aus dem Redis-Channel umgeht. Bis Version 1.6.3 konnte das zu Remote Code Execution führen, besonders wenn Redis ohne Authentifizierung läuft. Zum Glück gibt es schon einen Patch in Version 1.7.0. Aber hey, wer lässt denn auch so ein wichtiges Teil wie Redis ohne Passwort im Internet stehen? Sysadmins, die sich mit der Materie auskennen, werden das Problem sicher schnell gelöst haben.
Laravel - Reverb - CRITICAL - CVE-2026-23524.
The Laravel Reverb component, used for real-time WebSocket communication in Laravel applications, is vulnerable due to its handling of data from the Redis channel. In versions 1.6.3 and below, Reverb improperly utilizes PHP’s unserialize() function without adequately restricting the classes that can be instantiated. This oversight allows for potential Remote Code Execution, particularly when Redis servers are deployed without authentication. The vulnerability is notably exploitable when horizontal scaling is enabled (REVERB_SCALING_ENABLED=true). Users are advised to upgrade to version 1.7.0, implement strong passwords for Redis, and restrict service access to private networks or local loopback. Additionally, disabling horizontal scaling can mitigate the risk in single-node environments.
Quelle: securityvulnerability.io