Laravel框架中cookie会话驱动程序存在远程代码执行（RCE）漏洞

admin

108270
文章

90
评论

2024年5月29日08:21:05评论14 views字数 1005阅读3分21秒阅读模式

Laravel框架中cookie会话驱动程序存在远程代码执行（RCE）漏洞

Laravel框架中“cookie”会话驱动程序存在远程代码执行（RCE）漏洞

Laravel是一个领先的PHP框架，以其优雅的语法和丰富的功能著称。它简化了Web应用开发的流程，支持MVC架构、对象关系映射（ORM），并提供内置工具如路由、会话管理、缓存等，广泛应用于各种Web项目。

01 漏洞描述

漏洞类型：远程代码执行漏洞（RCE）

简述：当应用程序使用“cookie”会话驱动的并且暴露了encryption oracle时会受到远程代码执行的漏洞影响。encryption oracle是一种机制，其中任意用户输入加密后被显示或暴露给用户。使得用户能够为任何明文字符串生成有效的Laravel签名加密字符串，从而允许他们在应用程序使用“cookie”驱动程序时构造Laravel会话有效负载。漏洞等级：严重。

Laravel框架中cookie会话驱动程序存在远程代码执行（RCE）漏洞

漏洞排查方式：

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html
方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式：https://www.murphysec.com/docs/faqs/integration/

02 漏洞影响版本

4.1.0 < Laravel framework < 6.18.31

7.0.0 < Laravel framework < 7.22.4

03 漏洞修复方案

升级 Laravel 框架至 6.18.31 及以上版本或 7.22.4 及以上版本。

04 参考链接

https://www.oscs1024.com/hd/MPS-2zns-0ulj

https://blog.laravel.com/laravel-cookie-security-releases

https://github.com/advisories/GHSA-qm5c-m76r-2hfr

END

Laravel框架中cookie会话驱动程序存在远程代码执行（RCE）漏洞

原文始发于微信公众号（锋刃科技）：Laravel框架中“cookie”会话驱动程序存在远程代码执行（RCE）漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

Laravel框架中cookie会话驱动程序存在远程代码执行（RCE）漏洞

用友NC oacoSchedulerEventsisAgentLimit SQL注入-POC

侧信道攻击之电磁侧信道攻击出题指南

2024攻防演练必修高危漏洞集合（2.0版）

派网Panalog远程代码执行漏洞

记一次项目上从前台登录到Getshell

Windows Quick Assist 在 Black Basta 勒索软件攻击中被滥用

致远远程代码执行漏洞

记一次TXT的存储型XSS奇葩案例

“黑客”攻入国内某电器集团售后服务系统涉案金额1.2亿元14人被判刑

某医药公司登录系统存在延时注入漏洞复现

发表评论

在线咨询

微信