服务热线
15527777548/18696195380
0x01
漏洞状态
漏洞细节 漏洞POC 漏洞EXP 在野利用 未知 未知 未知 未知 |
0x02
漏洞描述
Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。
Laravel官方发布安全通告,修复了一个存在于Laravel中的远程代码执行漏洞。漏洞编号:CVE-2021-43503,漏洞威胁等级:严重,漏洞评分:9.8。
该漏洞源于一个 php 反序列化 POP 链,文件及函数分别为:
1.laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数
2.laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函数
3.laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数
Laravel远程代码执行漏洞
Laravel远程代码执行漏洞 漏洞编号 CVE-2021-43503 漏洞类型 远程代码执行 漏洞等级 严重 公开状态 未知 在野利用 未知 漏洞描述 当Laravel开启了Debug模式时,由于Laravel⾃带的Ignition组件的某些函数功能存在过滤不严的问题,导致攻击者可以发起恶意请求,构造恶意Log⽂件等⽅式触发Phar反序列化,造成远程代码执⾏,执⾏任意命令控制服务器。 |
0x03
漏洞等级
严重
0x04
影响版本
Laravel 5.8.38
0x05
修复建议
厂商已发布补丁修复漏洞,用户请尽快更新至安全版本,下载链接如下:
https://github.com/laravel/laravel
与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x05
时间轴
2022-05-11
Laravel官方发布安全通告,修复了一个存在于Laravel中的远程代码执行漏洞。漏洞编号:CVE-2021-43503,漏洞威胁等级:严重,漏洞评分:9.8。
2022-05-12
360漏洞云发布安全动态。
