[漏洞預警]Laravel <= 8.4.2 Debug模式 _ignition 遠端程式碼執行漏洞

it_cwc發表於2021-01-13

寫在前面:原文章地址 help.aliyun.com/noticelist/article... 侵權刪

【漏洞預警】Laravel <= 8.4.2 Debug模式 _ignition 遠端程式碼執行漏洞

2021年1月13日,阿里雲應急響應中心監控到國外某安全研究團隊披露了Laravel <= 8.4.2 存在遠端程式碼執行漏洞。

漏洞描述

Laravel 是一個免費的開源 PHP Web 框架,旨在實現的Web軟體的MVC架構。2021年1月13日,阿里雲應急響應中心監控到國外某安全研究團隊披露了 Laravel <= 8.4.2 存在遠端程式碼執行漏洞。當Laravel開啟了Debug模式時,由於Laravel自帶的Ignition功能的某些介面存在過濾不嚴,攻擊者可以發起惡意請求,通過構造惡意Log檔案等方式觸發Phar反序列化,從而造成遠端程式碼執行,控制伺服器。漏洞細節已在網際網路公開。阿里雲應急響應中心提醒 Laravel 使用者儘快採取安全措施阻止漏洞攻擊。

影響版本

Laravel 框架 < 8.4.3

facade ignition 元件 < 2.5.2

安全版本

Laravel 框架 >= 8.4.3

facade ignition 元件 >= 2.5.2

安全建議

建議將 Laravel 框架升級至8.4.3及其以上版本,或者將 facade ignition元件升級至 2.5.2 及其以上版本。

相關連結

github.com/facade/ignition/pull/33...

www.ambionics.io/blog/laravel-debu...

本作品採用《CC 協議》,轉載必須註明作者和本文連結
it_cwc

相關文章