1、漏洞概述
近日,WebRAY安全服務產品線監測到Laravel官方釋出Laravel遠端程式碼執行漏洞,漏洞編號為CVE-2021-43503。在Laravel開啟Debug模式的時候,由於某些函式過濾不嚴格,攻擊者可以透過構造惡意檔案等方式觸發反序列化漏洞,從而執行任意命令控制伺服器,存在問題的POP鏈,檔案及函式分別為:
laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函式
laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函式
laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函式
Laravel是一套簡潔、優雅的PHPWeb開發框架,由於Laravel程式碼本身的表現力和良好的文件使PHP程式編寫更為輕鬆,Laravel提供了強大的工具用以開發大型、健壯的應用。
WebRAY安全服務產品線也將持續關注該漏洞進展,並及時為您更新該漏洞資訊。
2、影響範圍
漏洞編號 | 漏洞 | 影響版本 |
CVE-2021-43503 | Laravel | Laravel 5.8.38 |
3、漏洞等級
WebRAY安全服務產品線風險評級:高危
4、修復建議
1、廠商已釋出新版本,請及時更新Laravel至更高版本。
下載地址:
https://github.com/laravel/laravel
2、如果目前無法升級,在業務環境允許的前提下,使用白名單限制訪問web的ip來降低風險。