烽火狼烟丨Laravel远程代码执行漏洞(CVE-2021-43503)风险提示

发布者:盛邦安全
发布于:2022-05-25 11:39

1、漏洞概述


近日,WebRAY安全服务产品线监测到Laravel官方发布Laravel远程代码执行漏洞,漏洞编号为CVE-2021-43503。在Laravel开启Debug模式的时候,由于某些函数过滤不严格,攻击者可以通过构造恶意文件等方式触发反序列化漏洞,从而执行任意命令控制服务器,存在问题的POP链,文件及函数分别为:

laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数

laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函数

laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数


Laravel是一套简洁、优雅的PHPWeb开发框架,由于Laravel代码本身的表现力和良好的文档使PHP程序编写更为轻松,Laravel提供了强大的工具用以开发大型、健壮的应用。


WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。


2、影响范围


漏洞编号

漏洞

影响版本

CVE-2021-43503

Laravel

Laravel 5.8.38


3、漏洞等级


WebRAY安全服务产品线风险评级:高危


4、修复建议


1、厂商已发布新版本,请及时更新Laravel至更高版本。

下载地址:

https://github.com/laravel/laravel

2、如果目前无法升级,在业务环境允许的前提下,使用白名单限制访问web的ip来降低风险。



声明:该文观点仅代表作者本人,转载请注明来自看雪