【烽火狼烟】Laravel远程代码执行漏洞（CVE-2021-43503）风险提示

安全预警，防患未然

首页 > 烽火狼烟

Laravel远程代码执行漏洞（CVE-2021-43503）风险提示

漏洞概述

近日，WebRAY安全服务产品线监测到Laravel官方发布Laravel远程代码执行漏洞，漏洞编号为CVE-2021-43503。在Laravel开启Debug模式的时候，由于某些函数过滤不严格，攻击者可以通过构造恶意文件等方式触发反序列化漏洞，从而执行任意命令控制服务器，存在问题的POP链，文件及函数分别为：

laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函数

laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函数

laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函数

Laravel是一套简洁、优雅的PHPWeb开发框架，由于Laravel代码本身的表现力和良好的文档使PHP程序编写更为轻松，Laravel提供了强大的工具用以开发大型、健壮的应用。

WebRAY安全服务产品线也将持续关注该漏洞进展，并及时为您更新该漏洞信息。

影响范围

漏洞编号	漏洞	影响版本
CVE-2021-43503	Laravel	Laravel 5.8.38

漏洞等级

WebRAY安全服务产品线风险评级：高危

修复建议

1、厂商已发布新版本，请及时更新Laravel至更高版本。

下载地址：

https://github.com/laravel/laravel

2、如果目前无法升级，在业务环境允许的前提下，使用白名单限制访问web的ip来降低风险。

关于您的项目需求

关于您的项目需求