Laravel远程代码执行漏洞风险通告

2021年1月13日，国外某安全研究团队披露了Laravel <= 8.4.2 存在远程代码执行漏洞，攻击者利用漏洞可以完全控制服务器。

1

漏洞详情

2021年1月13日，国外某安全研究团队披露 Laravel <= 8.4.2 存在远程代码执行漏洞。

Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时，攻击者可以发起恶意的请求构造恶意的日志文件，再通过phar协议去访问日志触发php反序列化漏洞，造成命令执行。

但是日志位置不固定，不一定能攻击成功，不过利用php的ftp协议，可以实现稳定的ssrf，让php去下载恶意的tcp数据包，再发送给内部的其它服务，比如本地有php-fpm服务，则可以实现稳定RCE（远程代码执行），攻击者利用漏洞可以完全控制服务器。

该漏洞的技术细节已在互联网公开，腾讯安全专家提醒受影响的用户尽快采取升级相关组件，阻止漏洞攻击。

Laravel 是一个免费的开源 PHP Web 框架，旨在实现的Web软件的MVC架构。Laravel与Symfony、Zend、CodeIgniter、Yii2 和其他框架一起被视为最受欢迎的 PHP 框架之一。

2漏洞编号

CVE-2021-3129

3

漏洞等级

高危

4

受影响的版本

Laravel 框架 <= 8.4.2

facade ignition 组件 < 2.5.2

5

安全版本

Laravel框架 >= 8.4.3

facade ignition 组件 >= 2.5.2

6

腾讯安全网络空间测绘

腾讯安全网络空间测绘结果显示，Laravel组件分布相对分散，美国占比最高（34.16%）、其次是中国（8.66%）、印尼（6.07%）。在中国大陆地区，浙江、北京、上海、广东四省市占比接近80%。

腾讯安全网络空间测绘平台通过空间测绘技术，可针对该类漏洞进行监测与响应，如有需要可联系 [email protected] 了解产品详情。

7

漏洞修复建议

腾讯安全专家建议受影响的用户将 Laravel 框架升级至8.4.3及以上版本，或将 facade ignition组件升级至 2.5.2 及以上版本。

注：修复漏洞前请备份资料，并进行充分测试。

8

腾讯安全解决方案

1.腾讯T-Sec主机安全（云镜）漏洞库2021-1-14后的版本已支持检测Laravel远程代码执行漏洞（CVE-2021-3129）；

2.腾讯T-Sec云防火墙规则库2021-1-14之后的版本，已支持对Laravel远程代码执行漏洞利用的检测和拦截。腾讯云防火墙内置入侵防御功能，使用虚拟补丁机制防御最新的漏洞利用；

3.腾讯T-Sec高级威胁检测系统（御界）规则库2021-1-14之后的版本，已支持对Laravel远程代码执行漏洞利用的检测和拦截；

4.腾讯T-Sec Web应用防火墙（WAF）已支持防护 Laravel远程代码执行漏洞（CVE-2021-3129）。

欢迎长按识别以下二维码，添加腾讯安全小助手，咨询了解更多腾讯安全产品信息。

参考链接：

https://github.com/facade/ignition/pull/334

https://www.ambionics.io/blog/laravel-debug-rce

本文始发于微信公众号（腾讯安全威胁情报中心）：Laravel远程代码执行漏洞风险通告，腾讯安全全面检测