烽火狼烟丨Laravel远程代码执行漏洞(CVE-2021-43503)风险提示 admin 102359文章 87评论 2022年5月12日21:37:39评论104 views字数 809阅读2分41秒阅读模式 1、漏洞概述 近日,WebRAY安全服务产品线监测到Laravel官方发布Laravel远程代码执行漏洞,漏洞编号为CVE-2021-43503。在Laravel开启Debug模式的时候,由于某些函数过滤不严格,攻击者可以通过构造恶意文件等方式触发反序列化漏洞,从而执行任意命令控制服务器,存在问题的POP链,文件及函数分别为: laravel5.8vendorlaravelframeworksrcIlluminateRoutingPendingResourceRegistration.php中的__destruct()函数 laravel5.8vendorlaravelframeworksrcIlluminateQueueCapsuleManager. php中的__call()函数 laravel5.8vendormockerymockerylibraryMockeryClosureWrapper.php中的__invoke()函数 Laravel是一套简洁、优雅的PHPWeb开发框架,由于Laravel代码本身的表现力和良好的文档使PHP程序编写更为轻松,Laravel提供了强大的工具用以开发大型、健壮的应用。 WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。 2、影响范围 漏洞编号 漏洞 影响版本 CVE-2021-43503 Laravel Laravel 5.8.38 3、漏洞等级 WebRAY安全服务产品线风险评级:高危 4、修复建议 1、厂商已发布新版本,请及时更新Laravel至更高版本。 下载地址: https://github.com/laravel/laravel 2、如果目前无法升级,在业务环境允许的前提下,使用白名单限制访问web的ip来降低风险。 ·END· 原文始发于微信公众号(盛邦安全WebRAY):烽火狼烟丨Laravel远程代码执行漏洞(CVE-2021-43503)风险提示 点赞 http://cn-sec.com/archives/1002275.html 复制链接 复制链接 左青龙 微信扫一扫 右白虎 微信扫一扫
评论