Laravel框架中“cookie”会话驱动程序存在远程代码执行(RCE)漏洞
Laravel是一个领先的PHP框架,以其优雅的语法和丰富的功能著称。它简化了Web应用开发的流程,支持MVC架构、对象关系映射(ORM),并提供内置工具如路由、会话管理、缓存等,广泛应用于各种Web项目。
01 漏洞描述
漏洞类型:远程代码执行漏洞(RCE)
-
方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html -
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html -
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html -
更多排查方式:https://www.murphysec.com/docs/faqs/integration/
02 漏洞影响版本
4.1.0 < Laravel framework < 6.18.31
03 漏洞修复方案
04 参考链接
https://www.oscs1024.com/hd/MPS-2zns-0ulj
https://blog.laravel.com/laravel-cookie-security-releases
https://github.com/advisories/GHSA-qm5c-m76r-2hfr
END
原文始发于微信公众号(锋刃科技):Laravel框架中“cookie”会话驱动程序存在远程代码执行(RCE)漏洞
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论