关于 Laravel 远程代码执行漏洞(CVE-2021-43503)的安全告知

Laravel 是一套简洁、优雅的 PHP Web 开发框架(PHP Web Framework)。由于 Laravel 代码本身的表现力和良好的文档使 PHP 程序编写更为轻松，Laravel 提供了强大的工具用以开发大型、健壮的应用。

漏洞详情

近日，Laravel 官方发布安全通告，修复了一个存在于Laravel中的远程代码执行漏洞(CVE-2021-43503)。该漏洞源于一个 php 反序列化 POP 链，当 Laravel 开启了 Debug 模式时，由于 Laravel ⾃带的 Ignition 组件的某些函数过滤不严格，导致攻击者可以通过构造恶意 Log ⽂件等⽅式触发 Phar 反序列化，造成远程代码执⾏，执⾏任意命令控制服务器。存在问题的 POP 链，文件及函数分别为：

1.laravel5.8vendorlaravelframeworksrcIlluminateRoutingPendingResourceRegistration.php中的__destruct()函数

2.laravel5.8vendorlaravelframeworksrcIlluminateQueueCapsuleManager.php中的__call()函数

3.laravel5.8vendormockerymockerylibraryMockeryClosureWrapper.php中的__invoke()函数

影响范围

Laravel ≤ 5.8.38

修复建议

厂商已发布新版本，请及时更新Laravel至更高版本，下载链接如下：

https://github.com/laravel/laravel

原文始发于微信公众号（梦之想科技）：关于 Laravel 远程代码执行漏洞(CVE-2021-43503)的安全告知