【漏洞通告】CVE-2021-3129 Laravel远程代码实行漏洞

发布时间 2021-01-14

0x00 漏洞概述

CVE  ID

CVE-2021-3129

时  间

2021-01-14

类  型

RCE

等  级

高危

远程利用

影响范围

Laravel <= 8.4.2

 

0x01 漏洞详情

image.png

 

Laravel是一套简洁、开源的PHP Web开发框架,旨在实现WebApp的MVC架构。

2021年01月12日,Laravel被披露存在一个远程代码实行漏洞(CVE-2021-3129)。

当Laravel开启了Debug模式时,由于Laravel自带的Ignition 组件对file_get_contents()和file_put_contents()函数的不安全使用,攻击者可以通过发起恶意请求,构造恶意Log文件等方式触发Phar反序列化,最终造成远程代码实行。

image.png

 

截止目前,使用Zoomeye搜索,全球共有193851个网站正在使用Laravel。

image.png

 

影响范围

Laravel <= 8.4.2

Ignition <2.5.2

 

0x02 处置建议

建议将 Laravel 框架升级至8.4.3及以上版本,或将 Ignition组件升级至 2.5.2 及以上版本。

下载链接:

https://laravel.com/docs/8.x#laravel-the-fullstack-framework


0x03 参考链接

https://github.com/facade/ignition/pull/334

https://www.tenable.com/cve/CVE-2021-3129

https://www.ambionics.io/blog/laravel-debug-rce

 

0x04 时间线

2021-01-12  Ambionics Security披露漏洞

2021-01-14  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png