Laravel 是一套简洁、优雅的 PHP Web 开发框架(PHP Web Framework)。由于 Laravel 代码本身的表现力和良好的文档使 PHP 程序编写更为轻松，Laravel 提供了强大的工具用以开发大型、健壮的应用。

漏洞详情

Laravel 官方发布安全通告，修复了一个存在于 Laravel 中的远程代码执行漏洞。该漏洞源于一个 php 反序列化 POP 链，当 Laravel 开启了 Debug 模式时，由于 Laravel ⾃带的 Ignition 组件的某些函数过滤不严格，导致攻击者可以通过构造恶意 Log ⽂件等⽅式触发 Phar 反序列化，造成远程代码执⾏，执⾏任意命令控制服务器。存在问题的 POP 链，文件及函数分别为：

1.laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数

2.laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager.php中的__call()函数

3.laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数

影响范围

Laravel ≤ 5.8.38

修复建议

厂商已发布新版本，请及时更新Laravel至更高版本，下载链接如下：

https://github.com/laravel/laravel