【漏洞通告】CVE-2021-3129 Laravel远程代码执行漏洞
发布时间 2021-01-140x00 漏洞概述
CVE ID | CVE-2021-3129 | 时 间 | 2021-01-14 |
类 型 | RCE | 等 级 | 高危 |
远程利用 | 是 | 影响范围 | Laravel <= 8.4.2 |
0x01 漏洞详情
Laravel是一套简洁、开源的PHP Web开发框架,旨在实现Web软件的MVC架构。
2021年01月12日,Laravel被披露存在一个远程代码执行漏洞(CVE-2021-3129)。
当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码执行。
截止目前,使用Zoomeye搜索,全球共有193851个网站正在使用Laravel。
影响范围
Laravel <= 8.4.2
Ignition <2.5.2
0x02 处置建议
建议将 Laravel 框架升级至8.4.3及以上版本,或将 Ignition组件升级至 2.5.2 及以上版本。
下载链接:
https://laravel.com/docs/8.x#laravel-the-fullstack-framework
0x03 参考链接
https://github.com/facade/ignition/pull/334
https://www.tenable.com/cve/CVE-2021-3129
https://www.ambionics.io/blog/laravel-debug-rce
0x04 时间线
2021-01-12 Ambionics Security披露漏洞
2021-01-14 VSRC发布安全通告
0x05 附录
CVSS评分标准官网:http://www.first.org/cvss/