Laravel远程代码执行漏洞CVE-2021-43503

近日,我司监测到一则Laravel官方发布的安全通告,修复了一个Laravel远程代码执行漏洞CVE-2021-43503

Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework)。它可以让你从面条一样杂乱的代码中解脱出来;它可以帮你构建一个完美的网络APP,而且每行代码都可以简洁、富于表达力。

该漏洞源于一个 php 反序列化 POP 链,文件及函数分别为:

  • laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数
  • laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函数
  • laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数

 

影响版本

Laravel 5.8.38

 

修复建议:

官方已发布安全版本,请及时下载更新,下载地址:

https://github.com/laravel/laravel

发表评论

评论已关闭。

相关文章