Los investigadores de seguridad cibernética han descubierto un solemne problema de seguridad que permite que Laravel App_Keys filtró que se armen para obtener capacidades de ejecución de código remoto en cientos de aplicaciones.
“La App_Key de Laravel, esencial para encriptar datos confidenciales, a menudo se filtra públicamente (por ejemplo, en Github)”, dijo Gitguardian. “Si los atacantes obtienen ataque a esta esencia, pueden explotar una equivocación de deserialización para ejecutar código despótico en el servidor, poniendo en peligro los datos y la infraestructura”.
La compañía, en colaboración con SynackTiv, dijo que fue capaz de extraer más de 260,000 App_Keys de Github desde 2018 hasta el 30 de mayo de 2025, identificando más de 600 aplicaciones de Laravel vulnerables en el proceso. Gitguardian dijo que observó más de 10,000 Keyas únicos en Github, de los cuales 400 App_Keys fueron validados como funcionales.
APP_Key es una esencia de secreto aleatoria de 32 bytes que se genera durante la instalación de Laravel. Almacenado en el archivo .env de la aplicación, se usa para resumir y descifrar datos, ocasionar cadenas seguras y aleatorias, firmar y probar datos, y crear tokens de autenticación únicos, haciendo un componente de seguridad crucial.
Gitguardian señaló que la implementación coetáneo de Laravel de la función Decrypt () introduce un problema de seguridad en el que se deserializa automáticamente los datos descifrados, abriendo así la puerta para una posible ejecución del código remoto.
“Específicamente en las aplicaciones de Laravel, si los atacantes obtienen la APP_Key y pueden invocar la función Decrypt () con una carga útil maliciosa, pueden obtener la ejecución de código remoto en el servidor web de Laravel”, dijo la investigadora de seguridad Guillaume Valadon.
“Esta vulnerabilidad se documentó por primera vez con CVE-2018-15133, que afectó las versiones de Laravel antaño de 5.6.30. Sin bloqueo, este vector de ataque persiste en versiones más nuevas de Laravel cuando los desarrolladores configuran explícitamente la serialización de la sesión en cookies utilizando la configuración de cookies session_driver = cookies, como lo demuestra CVE-2024-5556”.
Vale la pena señalar que CVE-2018-15133 ha sido explotado en la naturaleza por los actores de amenaza asociados con el malware Androxgh0st, luego de escanear Internet para aplicaciones de Laravel con archivos .env mal configurados.
Un investigación posterior ha incompatible que el 63% de las exposiciones de APP_Key se originan a partir de archivos .env (o sus variantes) que generalmente contienen otros secretos valiosos, como tokens de almacenamiento en la aglomeración, credenciales de bases de datos y secretos asociados con plataformas de comercio electrónico, herramientas de atención al cliente y servicios de inteligencia sintético (AI).
Más importante aún, aproximadamente 28,000 pares APP_KEY y APP_URL se han expuesto simultáneamente a GitHub. De estos, se ha incompatible que aproximadamente el 10% es válido, lo que hace que 120 aplicaciones vulnerables a los ataques de ejecución de código remoto trivial.
Entregado que la configuración APP_URL especifica la URL cojín de la aplicación, exponer tanto APP_URL como APP_KEY crea un vector de ataque potente que los actores de amenaza pueden utilizar para conseguir directamente a la aplicación, recuperar cookies de sesión e intentar descifrarlas utilizando la esencia expuesta.
Simplemente fregar secretos de repositorios no es suficiente, especialmente cuando ya han sido clonados o almacenados en gusto por herramientas de terceros. Lo que los desarrolladores necesitan es una ruta de rotación clara, respaldada por el monitoreo que marca cada reaparición futura de cadenas sensibles a través de registros de CI, compilaciones de imágenes y capas de contenedores.
“Los desarrolladores nunca deberían simplemente eliminar las aplicaciones expuestas de los repositorios sin la rotación adecuada”, dijo Gitguardian. “La respuesta adecuada implica: rodar inmediatamente la APP_Key comprometida, modernizar todos los sistemas de producción con la nueva esencia e implementar un monitoreo secreto continuo para evitar futuras exposiciones”.
Estos tipos de incidentes además se alinean con una clase más amplia de vulnerabilidades de deserialización de PHP, donde herramientas como PHPGGC ayudan a los atacantes a crear cadenas de dispositivos que desencadenan comportamientos no deseados durante la carga de objetos. Cuando se usa en entornos de Laravel con claves filtradas, dichos dispositivos pueden obtener RCE completo sin condición de violar la deducción o las rutas de la aplicación.
La divulgación se produce luego de que Gitguardian reveló que descubrió un “asombroso 100,000 secretos válidos” en imágenes de Docker accesibles públicamente en el registro de Dockerhub. Esto incluye secretos asociados con Amazon Web Services (AWS), Google Cloud y GitHub Tokens.
Un nuevo investigación binarly de más de 80,000 imágenes de Docker únicas que abarcan 54 organizaciones y 3,539 repositorios además han descubierto 644 secretos únicos que abarcaron credenciales genéricas, tokens web JSON, encabezado de autorización básica de HTTP, Key de Google Cloud API Key, AWS Access Tokens Tokens API API, entre otros.
“Los secretos aparecen en una amplia variedad de tipos de archivos, que incluyen código fuente, archivos de configuración e incluso archivos binarios grandes, áreas donde muchos escáneres existentes se quedan cortos”, dijo la compañía. “Adicionalmente, la presencia de repositorios de Git enteros internamente de las imágenes de contenedores representa un peligro de seguridad solemne y a menudo pasado por suspensión”.
Pero eso no es todo. La rápida prohijamiento del Protocolo de contexto del maniquí (MCP) para permitir flujos de trabajo de agente en aplicaciones de IA impulsadas por la empresa ha descubierto vectores de ataque nuevos, una preocupación por ser la fuga de secretos de los servidores MCP publicados hasta repositorios de GitHub.
Específicamente, Gitguardian descubrió que 202 de ellos filtraron al menos un secreto, lo que representa el 5.2% de todos los repositorios, un número que la compañía dijo que es “sutilmente más adhesión que la tasa de ocurrencia del 4.6% observada en todos los repositorios públicos,” haciendo que los servidores de MCP sean una “nueva fuente de fugas secretas”.
Si adecuadamente esta investigación se centra en Laravel, el mismo problema de raíz, secretos adjuntos en repositorios públicos, se aplica a otras pilas. Las organizaciones deben explorar escaneo secreto centralizado, guías de endurecimiento específicas de Laravel y patrones seguros por diseño para cuidar archivos .env y secretos de contenedores en los marcos.
