0757-86231086

新闻详情

Laravel远程代码执行漏洞 CVE-2021-43503
发布时间:2022-06-30

组件介绍

Laravel是一套Web应用开发框架,它具有富于表达性且简洁的语法,可以提供验证(authentication)、路由(routing)、session和缓存(caching)等开发过程中经常用到的工具或功能。

漏洞描述

监测到一则Laravel组件存在远程命令执行漏洞的信息,漏洞编号:CVE-2021-43503、CNVD-2022-36040,漏洞威胁等级:严重。

该漏洞是由于Laravel 5.8.38版本以下的PendingResourceRegistration.php页面存在反序列化漏洞,攻击者可利用该漏洞在未授权情况下,构造恶意数据进行远程代码执行攻击,最终获取服务器最高权限等操作。

影响范围

Laravel是一套Web应用开发框架,它具有富于表达性且简洁的语法。全球有上万的站点采用Laravel,可能受漏洞影响的资产广泛分布于世界各地,国内省份中,浙江、广东、山东、北京、上海等省市接近70%,涉及用户量过多,导致漏洞影响力较大。

目前受影响的Laravel版本:

Laravel ≤ 5.8.38