首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】CVE-2021-3129 Laravel遠程代碼執行漏洞

發布時間 2021-01-14

0x00 漏洞概述

CVE  ID

CVE-2021-3129

時  間

2021-01-14

類  型

RCE

等  級

高危

遠程利用

影響范圍

Laravel <= 8.4.2

 

0x01 漏洞詳情

image.png

 

Laravel是一套簡潔、開源的PHP Web開發框架,旨在實現Web軟件的MVC架構。

2021年01月12日,Laravel被披露存在一個遠程代碼執行漏洞(CVE-2021-3129)。

當Laravel開啟了Debug模式時,由于Laravel自帶的Ignition 組件對file_get_contents()和file_put_contents()函數的不安全使用,攻擊者可以通過發起惡意請求,構造惡意Log文件等方式觸發Phar反序列化,最終造成遠程代碼執行。

image.png

 

截止目前,使用Zoomeye搜索,全球共有193851個網站正在使用Laravel。

image.png

 

影響范圍

Laravel <= 8.4.2

Ignition <2.5.2

 

0x02 處置建議

建議將 Laravel 框架升級至8.4.3及以上版本,或將 Ignition組件升級至 2.5.2 及以上版本。

下載鏈接:

https://laravel.com/docs/8.x#laravel-the-fullstack-framework


0x03 參考鏈接

https://github.com/facade/ignition/pull/334

https://www.tenable.com/cve/CVE-2021-3129

https://www.ambionics.io/blog/laravel-debug-rce

 

0x04 時間線

2021-01-12  Ambionics Security披露漏洞

2021-01-14  VSRC發布安全通告

 

0x05 附錄

 

CVSS評分標準官網:http://www.first.org/cvss/

image.png

 

上一篇 下一篇