高危，Laravel参数注入弊端安全风险通告

今日，亚信安全CERT监控到安全社区研究职员发布安全通告，披露了Laravel 参数注入弊端(CVE-2024-52301)。在受影响的版本中，Application.php 文件的 detectEnvironment 函数直接使用了 $_SERVER['argv']，但没有检查运行环境是否为 CLI。假如 register_argc_argv 设置为 on，即使是 Web 请求 $_SERVER['argv'] 也可会被添补，从而造成伤害举动。攻击者可以在 URL 中构造参数从而改变框架运行环境。
亚信安全CERT发起受影响的用户将Laravel 升级至最新版本 。
Laravel 是一个开源的 PHP 框架，用于开发 Web 应用程序。它接纳了 MVC设计模式，旨在简化常见的 Web 开发任务，提供易用的工具和功能，使开发职员能够更高效地构建应用程序。
弊端编号、类型、品级

受影响版本

• Laravel < 6.20.45
  
• 7.0.0 <= Laravel < 7.30.7
  
• 8.0.0 <= Laravel < 8.83.28
  
• 9.0.0 <= Laravel < 9.52.17
  
• 10.0.0 <= Laravel < 10.48.23
  
• 11.0.0 <= Laravel < 11.31.0
  

产品解决方案
现在亚信安全怒狮引擎已第一时间新增了检测规则，支持CVE-2024-52301弊端的检测，请实时更新TDA产品的特性库到最新版本。规则编号：106064056，规则名称：Laravel环境变量注入弊端(CVE-2024-52301)。
更新方式如下：

• TDA产品在线更新方法：登录体系-》体系管理-》体系升级-》特性码更新；
  
• TDA产品离线升级PTN包下载链接如下：
  

修复发起
现在，官方已发布相关修复公告，发起受影响的用户将Laravel更新到最新版本大概到官网查询具体补丁信息。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。