1、漏洞概述
近日,WebRAY安全服务产品线监测到Laravel官方发布Laravel远程代码执行漏洞,漏洞编号为CVE-2021-43503。在Laravel开启Debug模式的时候,由于某些函数过滤不严格,攻击者可以通过构造恶意文件等方式触发反序列化漏洞,从而执行任意命令控制服务器,存在问题的POP链,文件及函数分别为:
laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数
laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函数
laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数
Laravel是一套简洁、优雅的PHPWeb开发框架,由于Laravel代码本身的表现力和良好的文档使PHP程序编写更为轻松,Laravel提供了强大的工具用以开发大型、健壮的应用。
WebRAY安全服务产品线也将持续关注该漏洞进展,并及时为您更新该漏洞信息。
2、影响范围
漏洞编号 | 漏洞 | 影响版本 |
CVE-2021-43503 | Laravel | Laravel 5.8.38 |
3、漏洞等级
WebRAY安全服务产品线风险评级:高危
4、修复建议
1、厂商已发布新版本,请及时更新Laravel至更高版本。
下载地址:
https://github.com/laravel/laravel
2、如果目前无法升级,在业务环境允许的前提下,使用白名单限制访问web的ip来降低风险。