嚴重 | Laravel遠程代碼執行漏洞
0x01
漏洞狀態
漏洞細節 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
Laravel是一套簡潔、優雅的PHP Web開發框架(PHP Web Framework)。它可以讓你從面條一樣雜亂的代碼中解脫出來;它可以幫你構建一個完美的網絡APP,而且每行代碼都可以簡潔、富于表達力。
Laravel官方發布安全通告,修復了一個存在于Laravel中的遠程代碼執行漏洞。漏洞編號:CVE-2021-43503,漏洞威脅等級:嚴重,漏洞評分:9.8。
該漏洞源于一個 php 反序列化 POP 鏈,文件及函數分別為:
1.laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函數
2.laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函數
3.laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函數
Laravel遠程代碼執行漏洞
Laravel遠程代碼執行漏洞 漏洞編號 CVE-2021-43503 漏洞類型 遠程代碼執行 漏洞等級 嚴重 公開狀態 未知 在野利用 未知 漏洞描述 當Laravel開啟了Debug模式時,由于Laravel?帶的Ignition組件的某些函數功能存在過濾不嚴的問題,導致攻擊者可以發起惡意請求,構造惡意Log?件等?式觸發Phar反序列化,造成遠程代碼執?,執?任意命令控制服務器。 |
0x03
漏洞等級
嚴重
0x04
影響版本
Laravel 5.8.38
0x05
修復建議
廠商已發布補丁修復漏洞,用戶請盡快更新至安全版本,下載鏈接如下:
https://github.com/laravel/laravel
與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
0x05
時間軸
2022-05-11
Laravel官方發布安全通告,修復了一個存在于Laravel中的遠程代碼執行漏洞。漏洞編號:CVE-2021-43503,漏洞威脅等級:嚴重,漏洞評分:9.8。
2022-05-12
360漏洞云發布安全動態。
