高危,Laravel参数注入弊端安全风险通告
https://img-blog.csdnimg.cn/img_convert/9b91cf0c2a20ae25511756b7935aa6cd.jpeg 今日,亚信安全CERT监控到安全社区研究职员发布安全通告,披露了Laravel 参数注入弊端(CVE-2024-52301)。在受影响的版本中,Application.php 文件的 detectEnvironment 函数直接使用了 $_SERVER['argv'],但没有检查运行环境是否为 CLI。假如 register_argc_argv 设置为 on,即使是 Web 请求 $_SERVER['argv'] 也可会被添补,从而造成伤害举动。攻击者可以在 URL 中构造参数从而改变框架运行环境。亚信安全CERT发起受影响的用户将Laravel 升级至最新版本 。
Laravel 是一个开源的 PHP 框架,用于开发 Web 应用程序。它接纳了 MVC设计模式,旨在简化常见的 Web 开发任务,提供易用的工具和功能,使开发职员能够更高效地构建应用程序。
弊端编号、类型、品级
https://img-blog.csdnimg.cn/img_convert/5a86d354cc2b9c1b3bccd86dc4ad28b8.jpeg
受影响版本
[*]Laravel < 6.20.45
[*]7.0.0 <= Laravel < 7.30.7
[*]8.0.0 <= Laravel < 8.83.28
[*]9.0.0 <= Laravel < 9.52.17
[*]10.0.0 <= Laravel < 10.48.23
[*]11.0.0 <= Laravel < 11.31.0
产品解决方案
现在亚信安全怒狮引擎已第一时间新增了检测规则,支持CVE-2024-52301弊端的检测,请实时更新TDA产品的特性库到最新版本。规则编号:106064056,规则名称:Laravel环境变量注入弊端(CVE-2024-52301)。
更新方式如下:
[*]TDA产品在线更新方法:登录体系-》体系管理-》体系升级-》特性码更新;
[*]TDA产品离线升级PTN包下载链接如下:
https://img-blog.csdnimg.cn/img_convert/5708bf200a02ae6ff92aafcc42780256.jpeg 修复发起
现在,官方已发布相关修复公告,发起受影响的用户将Laravel更新到最新版本大概到官网查询具体补丁信息。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]