Pesquisadores de cibersegurança descobriram uma grave falha de segurança que permite a utilização maliciosa de Laravel APP_KEYs vazadas para obter capacidades de execução remota de código em centenas de aplicações.
"A APP_KEY do Laravel, essencial para criptografar dados sensíveis, é frequentemente exposta publicamente (por exemplo, no GitHub)", disse GitGuardian.
Se os atacantes obtiverem acesso a essa chave, eles podem explorar uma falha de deserialização para executar código arbitrário no servidor – colocando dados e infraestrutura em risco.
A empresa, em colaboração com a Synacktiv, disse que conseguiu extrair mais de 260.000 APP_KEYs do GitHub de 2018 até 30 de maio de 2025, identificando mais de 600 aplicações Laravel vulneráveis no processo.
GitGuardian observou mais de 10.000 APP_KEYs únicas no GitHub, das quais 400 APP_KEYs foram validadas como funcionais.
A APP_KEY é uma chave de criptografia aleatória de 32 bytes que é gerada durante a instalação do Laravel.
Armazenada no arquivo .env da aplicação, ela é usada para criptografar e descriptografar dados, gerar strings aleatórias seguras, assinar e verificar dados e criar tokens de autenticação únicos, tornando-se um componente crucial de segurança.
GitGuardian observou que a implementação atual da função decrypt() do Laravel introduz uma questão de segurança onde ela automaticamente deserializa os dados descriptografados, abrindo caminho para possível execução de código remoto.
"Especificamente em aplicações Laravel, se os atacantes obtiverem a APP_KEY e conseguirem invocar a função decrypt() com um payload malicioso, eles podem conseguir execução de código remoto no servidor web do Laravel," disse o pesquisador de segurança Guillaume Valadon.
"Esta vulnerabilidade foi documentada pela primeira vez com o
CVE-2018-15133
, que afetou versões do Laravel anteriores à 5.6.30.
No entanto, este vetor de ataque persiste em versões mais recentes do Laravel quando os desenvolvedores configuram explicitamente a serialização de sessão em cookies usando a configuração SESSION_DRIVER=cookie, como demonstrado pelo
CVE-2024-55556
."
Vale notar que o
CVE-2018-15133
foi explorado ativamente por atores de ameaças associados ao malware AndroxGh0st, após a varredura da internet por aplicações Laravel com arquivos .env mal configurados.
Uma análise adicional descobriu que 63% das exposições de APP_KEYs originam-se de arquivos .env (ou suas variantes) que tipicamente contêm outros segredos valiosos, como tokens de armazenamento em nuvem, credenciais de banco de dados e segredos associados a plataformas de comércio eletrônico, ferramentas de suporte ao cliente e serviços de inteligência artificial (IA).
Mais importante, aproximadamente 28.000 pares de APP_KEY e APP_URL foram expostos simultaneamente no GitHub.
Destes, aproximadamente 10% foram encontrados válidos, tornando 120 aplicações vulneráveis a ataques triviais de execução de código remoto.
Dado que a configuração APP_URL especifica a URL base da aplicação, expor tanto APP_URL quanto APP_KEY cria um vetor de ataque potente que os atores de ameaças podem explorar para acessar diretamente o aplicativo, recuperar cookies de sessão e tentar descriptografá-los usando a chave exposta.Simplesmente apagar segredos dos repositórios não é suficiente - especialmente quando eles já foram clonados ou armazenados em cache por ferramentas de terceiros.
O que os desenvolvedores precisam é de um caminho claro de rotação, respaldado por monitoramento que sinalize toda reaparição futura de strings sensíveis através de logs de CI, construções de imagem e camadas de contêiner.
"Os desenvolvedores nunca devem simplesmente deletar APP_KEYs expostas de repositórios sem uma rotação adequada," disse GitGuardian.
"A resposta adequada envolve: rotacionar imediatamente a APP_KEY comprometida, atualizar todos os sistemas de produção com a nova chave, e implementar monitoramento contínuo de segredos para prevenir futuras exposições."Esses tipos de incidentes também se alinham com uma classe mais ampla de vulnerabilidades de deserialização PHP, onde ferramentas como phpggc ajudam os atacantes a criar cadeias de gadgets que desencadeiam comportamentos não intencionais durante o carregamento do objeto.
Quando usados em ambientes Laravel com chaves vazadas, tais gadgets podem alcançar RCE completo sem necessidade de violar a lógica ou rotas do aplicativo.
A divulgação vem após o GitGuardian revelar que descobriu um "espantoso número de 100.000 segredos válidos" em imagens Docker acessíveis publicamente no registro do DockerHub.
Isso inclui segredos associados a Amazon Web Services (AWS), Google Cloud e tokens do GitHub.
Uma nova análise da Binarly de mais de 80.000 imagens Docker únicas abrangendo 54 organizações e 3.539 repositórios também descobriu 644 segredos únicos que abrangiam credenciais genéricas, JSON Web Tokens, cabeçalho de Autorização Básica HTTP, chave da API do Google Cloud, tokens de acesso AWS e tokens da API CircleCI, entre outros.
"Segredos aparecem em uma grande variedade de tipos de arquivos, incluindo código fonte, arquivos de configuração e até mesmo grandes arquivos binários, áreas onde muitos scanners existentes ficam aquém," disse a empresa.
Além disso, a presença de repositórios Git inteiros dentro de imagens de contêiner representa um risco de segurança sério e muitas vezes negligenciado.
Mas isso não é tudo.
A rápida adoção do Protocolo de Contexto de Modelo (MCP) para habilitar workflows agentivos em aplicações de IA empresariais abriu novos vetores de ataque – um preocupante sendo o vazamento de segredos de servidores MCP publicados em repositórios do GitHub.
Especificamente, GitGuardian descobriu que 202 deles vazaram pelo menos um segredo, representando 5,2% de todos os repositórios – um número que a empresa disse ser "ligeiramente superior à taxa de ocorrência de 4,6% observada em todos os repositórios públicos", tornando os servidores MCP uma "nova fonte de vazamento de segredos."Embora esta pesquisa foque no Laravel, o mesmo problema fundamental – segredos desprotegidos em repositórios públicos – aplica-se a outras pilhas.
As organizações devem explorar a varredura centralizada de segredos, guias de fortalecimento específicos do Laravel e padrões seguros por design para gerenciar arquivos .env e segredos de contêineres entre frameworks.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...