烽火狼烟丨Laravel远程代码执行漏洞（CVE-2021-43503）风险提示

2022年5月12日21:37:39评论104 views字数 809阅读2分41秒阅读模式

1、漏洞概述

近日，WebRAY安全服务产品线监测到Laravel官方发布Laravel远程代码执行漏洞，漏洞编号为CVE-2021-43503。在Laravel开启Debug模式的时候，由于某些函数过滤不严格，攻击者可以通过构造恶意文件等方式触发反序列化漏洞，从而执行任意命令控制服务器，存在问题的POP链，文件及函数分别为：

laravel5.8vendorlaravelframeworksrcIlluminateRoutingPendingResourceRegistration.php中的__destruct()函数

laravel5.8vendorlaravelframeworksrcIlluminateQueueCapsuleManager. php中的__call()函数

laravel5.8vendormockerymockerylibraryMockeryClosureWrapper.php中的__invoke()函数

Laravel是一套简洁、优雅的PHPWeb开发框架，由于Laravel代码本身的表现力和良好的文档使PHP程序编写更为轻松，Laravel提供了强大的工具用以开发大型、健壮的应用。

WebRAY安全服务产品线也将持续关注该漏洞进展，并及时为您更新该漏洞信息。

2、影响范围

漏洞编号	漏洞	影响版本
CVE-2021-43503	Laravel	Laravel 5.8.38

3、漏洞等级

WebRAY安全服务产品线风险评级：高危

4、修复建议

1、厂商已发布新版本，请及时更新Laravel至更高版本。

下载地址：

https://github.com/laravel/laravel

2、如果目前无法升级，在业务环境允许的前提下，使用白名单限制访问web的ip来降低风险。

·END·

烽火狼烟丨Laravel远程代码执行漏洞（CVE-2021-43503）风险提示

原文始发于微信公众号（盛邦安全WebRAY）：烽火狼烟丨Laravel远程代码执行漏洞（CVE-2021-43503）风险提示

左青龙
微信扫一扫

右白虎
微信扫一扫

烽火狼烟丨Laravel远程代码执行漏洞（CVE-2021-43503）风险提示

CVE-2024-4040 CrushFTP 中的身份验证绕过和任意文件读取

利用 PUT 方法导致三星远程代码执行 (RCE)

泛微E-Mobile 6.0 client.do 命令执行漏洞

【在野0day】某友CRM系统某接口存在任意文件下载（大量资产存在）

【漏洞复现】短视频矩阵营销系统 ajax_uplaod接口处存在任意文件上传

漏洞速递 | Microsoft微软最新RCE漏洞（附EXP）

通达OA down 未授权员工信息泄露漏洞

漏洞预警 | FFmpeg释放后使用漏洞

漏洞预警 | Telegram Windows客户端可执行文件限制不当漏洞

漏洞预警 | 睿贝外贸ERP任意文件读取漏洞

发表评论

在线咨询

微信