关于Laravel远程代码执行漏洞(CVE-2021-43503)的安全告知

时间:2022-05-13 11:19:02来源:信息安全服务部作者:梦之想科技

Laravel 是一套简洁、优雅的 PHP Web 开发框架(PHP Web Framework)。由于 Laravel 代码本身的表现力和良好的文档使 PHP 程序编写更为轻松,Laravel 提供了强大的工具用以开发大型、健壮的应用。

漏洞详情

Laravel 官方发布安全通告,修复了一个存在于 Laravel 中的远程代码执行漏洞。该漏洞源于一个 php 反序列化 POP 链,当 Laravel 开启了 Debug 模式时,由于 Laravel ⾃带的 Ignition 组件的某些函数过滤不严格,导致攻击者可以通过构造恶意 Log ⽂件等⽅式触发 Phar 反序列化,造成远程代码执⾏,执⾏任意命令控制服务器。存在问题的 POP 链,文件及函数分别为:

1.laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数

2.laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager.php中的__call()函数

3.laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数

影响范围

Laravel ≤ 5.8.38

修复建议

厂商已发布新版本,请及时更新Laravel至更高版本,下载链接如下:

https://github.com/laravel/laravel