寫在前面:原文章地址 help.aliyun.com/noticelist/article... 侵權刪
【漏洞預警】Laravel <= 8.4.2 Debug模式 _ignition 遠端程式碼執行漏洞
2021年1月13日,阿里雲應急響應中心監控到國外某安全研究團隊披露了Laravel <= 8.4.2 存在遠端程式碼執行漏洞。
漏洞描述
Laravel 是一個免費的開源 PHP Web 框架,旨在實現的Web軟體的MVC架構。2021年1月13日,阿里雲應急響應中心監控到國外某安全研究團隊披露了 Laravel <= 8.4.2 存在遠端程式碼執行漏洞。當Laravel開啟了Debug模式時,由於Laravel自帶的Ignition功能的某些介面存在過濾不嚴,攻擊者可以發起惡意請求,通過構造惡意Log檔案等方式觸發Phar反序列化,從而造成遠端程式碼執行,控制伺服器。漏洞細節已在網際網路公開。阿里雲應急響應中心提醒 Laravel 使用者儘快採取安全措施阻止漏洞攻擊。
影響版本
Laravel 框架 < 8.4.3
facade ignition 元件 < 2.5.2
安全版本
Laravel 框架 >= 8.4.3
facade ignition 元件 >= 2.5.2
安全建議
建議將 Laravel 框架升級至8.4.3及其以上版本,或者將 facade ignition元件升級至 2.5.2 及其以上版本。
相關連結
github.com/facade/ignition/pull/33...
www.ambionics.io/blog/laravel-debu...
本作品採用《CC 協議》,轉載必須註明作者和本文連結