【安全通报】Laravel 远程代码执行漏洞 (CVE-2021-3129)

花屋敷  1439天前

image-20210114101553893.png

Laravel 是一个免费的开源 PHP Web 框架,旨在实现的Web软件的MVC架构。

近日,国外某安全研究团队披露了 Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时,由于Laravel自带的Ignition功能的某些接口存在过滤不严,攻击者可以发起恶意请求,通过构造恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行,控制服务器。漏洞细节已在互联网公开。建议相关用户尽快采取安全措施阻止漏洞攻击。

CVE 编号

CVE-2021-3129

影响范围

  • Laravel 框架 < 8.4.3
  • facade ignition 组件 < 2.5.2

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="Laravel-framework")共有 912,808 个相关服务对外开放。美国使用数量最多,共有 294,033 个;中国第二,共有 82,965 个;德国第三,共有 61,780 个;新加坡第四,共有 55,088 个;日本第五,共有 42,211 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20210114100858704.png

中国大陆地区浙江使用数量最多,共有 6815 个;北京第二,共有 3782 个;广东第三,共有 2347 个;上海第四,共有 1317 个;山东第五,共有 1080 个。

image-20210114100955843.png

Vulfocus靶场环境 

目前 Vulfocus 已经集成 Laravel 环境,可通过以下命令进行拉取运行:

docker pull vulfocus/laravel-cve_2021_3129:latest docker run -d -P vulfocus/laravel-cve_2021_3129

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。


修复建议

  1. 临时修复方案:若业务环境允许,使用白名单限制相关web项目的访问来降低风险。

  2. 通用修复建议:建议将 Laravel 框架升级至8.4.3及其以上版本,或者将 facade ignition组件升级至 2.5.2 及其以上版本。

参考

[1] https://weixin.shuziguanxing.com/selectDetailsTempateId/719

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论