01
漏洞描述
Laravel是Laravel 团队(Laravel)的一个Web 应用程序框架。Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。Laravel是完全开源的。Laravel 有一个非常棒的的社区支持。Laravel代码本身的表现力和良好的文档使PHP程序编写令人愉快。所有代码都可以从Github上获取它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。
Laravel存在安全漏洞,该漏洞源于通过(1) RoutingPendingResourceRegistration.php中的 __destruct、(2)QueueCapsuleManager.php中的 __cal 和(3)中的反序列化弹出链__invoke在 mockerylibraryMockeryClosureWrapper.php中。
02
漏洞危害
Laravel存在安全漏洞,当Laravel开启了Debug模式时,由于Laravel⾃带的Ignition组件的某些函数功能存在过滤不严的问题,导致攻击者可以发起恶意请求,构造恶意Log⽂件等⽅式触发Phar反序列化,造成远程代码执⾏,执⾏任意命令控制服务器。
03
影响范围
Laravel Laravel 5.8.38
04
漏洞等级
高危
06
修复方案
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://github.com/guoyanan1g/Laravel-vul/issues/2#issue-1045655892
END
长按识别二维码,了解更多
原文始发于微信公众号(易东安全研究院):【漏洞预警】Laravel远程代码执行漏洞(CVE-2021-43503 )
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论