关于 Laravel 远程代码执行漏洞(CVE-2021-43503)的安全告知

admin 2022年5月15日01:24:15安全漏洞评论14 views724字阅读2分24秒阅读模式
Laravel 是一套简洁、优雅的 PHP Web 开发框架(PHP Web Framework)。由于 Laravel 代码本身的表现力和良好的文档使 PHP 程序编写更为轻松,Laravel 提供了强大的工具用以开发大型、健壮的应用。
漏洞详情

近日,Laravel 官方发布安全通告,修复了一个存在于Laravel中的远程代码执行漏洞(CVE-2021-43503)。该漏洞源于一个 php 反序列化 POP 链,当 Laravel 开启了 Debug 模式时,由于 Laravel ⾃带的 Ignition 组件的某些函数过滤不严格,导致攻击者可以通过构造恶意 Log ⽂件等⽅式触发 Phar 反序列化,造成远程代码执⾏,执⾏任意命令控制服务器。存在问题的 POP 链,文件及函数分别为:

1.laravel5.8vendorlaravelframeworksrcIlluminateRoutingPendingResourceRegistration.php中的__destruct()函数

2.laravel5.8vendorlaravelframeworksrcIlluminateQueueCapsuleManager.php中的__call()函数

3.laravel5.8vendormockerymockerylibraryMockeryClosureWrapper.php中的__invoke()函数

影响范围

Laravel ≤ 5.8.38

修复建议

厂商已发布新版本,请及时更新Laravel至更高版本,下载链接如下:

https://github.com/laravel/laravel


原文始发于微信公众号(梦之想科技):关于 Laravel 远程代码执行漏洞(CVE-2021-43503)的安全告知

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月15日01:24:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  关于 Laravel 远程代码执行漏洞(CVE-2021-43503)的安全告知 http://cn-sec.com/archives/1004654.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: