【漏洞预警】Laravel远程代码执行漏洞(CVE-2021-43503 )

admin 2022年5月10日22:17:26安全漏洞评论49 views749字阅读2分29秒阅读模式

 01


漏洞描述





Laravel是Laravel 团队(Laravel)的一个Web 应用程序框架。Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。Laravel是完全开源的。Laravel 有一个非常棒的的社区支持。Laravel代码本身的表现力和良好的文档使PHP程序编写令人愉快。所有代码都可以从Github上获取它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。


Laravel存在安全漏洞,该漏洞源于通过(1) RoutingPendingResourceRegistration.php中的 __destruct、(2)QueueCapsuleManager.php中的 __cal 和(3)中的反序列化弹出链__invoke在 mockerylibraryMockeryClosureWrapper.php中。


 02

漏洞危害


Laravel存在安全漏洞,当Laravel开启了Debug模式时,由于Laravel⾃带的Ignition组件的某些函数功能存在过滤不严的问题,导致攻击者可以发起恶意请求,构造恶意Log⽂件等⽅式触发Phar反序列化,造成远程代码执⾏,执⾏任意命令控制服务器。


 03

影响范围






Laravel Laravel 5.8.38

04

漏洞等级

   

高危

 06

修复方案

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:

https://github.com/guoyanan1g/Laravel-vul/issues/2#issue-1045655892 



















END

长按识别二维码,了解更多


【漏洞预警】Laravel远程代码执行漏洞(CVE-2021-43503 )


原文始发于微信公众号(易东安全研究院):【漏洞预警】Laravel远程代码执行漏洞(CVE-2021-43503 )

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年5月10日22:17:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【漏洞预警】Laravel远程代码执行漏洞(CVE-2021-43503 ) http://cn-sec.com/archives/996004.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: