Especialistas da GitGuardian e da Synacktiv identificaram uma vulnerabilidade crítica no Laravel, estrutura PHP amplamente usada em aplicações web. O problema está no vazamento da chave app_key, usada para criptografia interna. Com ela, invasores podem explorar a função decrypt() e executar código remoto no servidor ao forçar a desserialização de objetos maliciosos.
A GitGuardian analisou repositórios públicos entre 2018 e maio de 2025 e encontrou mais de 260 mil chaves expostas, sendo 10 mil únicas e cerca de 400 ainda válidas. Pelo menos 600 aplicações em Laravel continuam vulneráveis. A falha reaparece em versões atuais mesmo após correção anterior (CVE-2018-15133), especialmente em configurações como session_driver=cookie, já sob o novo identificador CVE-2024-55556.
Os arquivos .env foram a origem de 63% dos vazamentos, expondo não apenas o app_key, mas também senhas, tokens de API, dados de nuvem e integrações com serviços de IA. Em aproximadamente 28 mil casos, tanto o app_key quanto o app_url estavam acessíveis, permitindo que ao menos 120 sistemas fossem explorados diretamente via decodificação de sessões.
Especialistas alertam que apagar chaves dos repositórios não é suficiente, pois serviços de terceiros podem manter cópias em cache. A orientação é realizar rotação imediata das chaves expostas, atualizar os ambientes de produção e adotar monitoramento contínuo de segredos em todo o ciclo de vida da aplicação, incluindo logs, contêineres e integrações CI/CD.
O estudo ainda mostra que o problema vai além do Laravel. A análise de imagens no DockerHub revelou mais de 100 mil segredos em contêineres públicos, e ferramentas como PHPGGC permitem explorar falhas similares por meio de cadeias de objetos maliciosos. A exposição de tokens e credenciais em servidores MCP também indica crescimento do risco em estruturas usadas com agentes de inteligência artificial. O maior risco hoje não está apenas nas vulnerabilidades, mas na má gestão de segredos.
fonte CISO ADVISOR
