Laravel9.1.8存在多个安全漏洞、命令执行漏洞
Laravel  /  管理员 发布于 1年前   2240
这些允许通过反序列化POP链实现远程代码执行漏洞影响的laravel版本是9.1.8
ps:图片转自国家信息安全漏洞共享平台
https://www.cnvd.org.cn/flaw/show/CNVD-2022-44351
CVE ID:CVE-2022-31279
事件
HTTP_安全漏洞_laravel_pop3利用链攻击[CVE-2022-31279][CNNVD-202206-671]
描述
Laravel9.1.8在处理攻击者控制的反序列化数据时,
允许通过Illuminate\Broadcasting\PendingBroadcast.php
中的__destruct和Faker\Generator.php中的__call中的未序列化弹出链执行远程代码执行(RCE)。
多个漏洞详情
CVE-2022-30778:Laravel远程代码执行漏洞
Laravel 9.1.8在处理反序列化数据时,
允许通过Illuminate\Broadcasting\PendingBroadcast.php中的__destruct中的反序列化POP链和
Illuminate\Bus\QueueingDispatcher.php中的dispatch($command)实现远程代码执行。
CVE-2022-30779:Laravel远程代码执行漏洞
Laravel 9.1.8在处理反序列化数据时,
允许通过GuzzleHttp\Cookie\FileCookieJar.php中__destruct中的反序列化POP链实现远程代码执行。
CVE-2022-31279:Laravel远程代码执行漏洞
Laravel 9.1.8在处理反序列化数据时,
允许通过 Illuminate\Broadcasting\PendingBroadcast.php中的 __destruct 和
Faker\Generator.php 中的 __call 中的反序列化POP链实现远程代码执行。
CVE-ID暂无:Laravel远程代码执行漏洞
Laravel 9.1.8在处理反序列化数据时,
允许通过反序列化POP链实现远程代码执行:
(1) Illuminate\Routing\PendingResourceRegistration.php中的__destruct;
(2) Illuminate\Routing\PendingResourceRegistration.php中的register;
(3) Faker\Generator.php中的__call。
建议
受影响用户可以升级到最新版本。
下载链接:
https://github.com/laravel/laravel/releases
原梓番博客 在
在Laravel框架中使用模型Model分表最简单的方法中评论 好久好久都没看友情链接申请了,今天刚看,已经添加。..博主 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 @1111老铁这个不行了,可以看看近期评论的其他文章..1111 在
佛跳墙vpn软件不会用?上不了网?佛跳墙vpn常见问题以及解决办法中评论 网站不能打开,博主百忙中能否发个APP下载链接,佛跳墙或极光..路人 在
php中使用hyperf框架调用讯飞星火大模型实现国内版chatgpt功能示例中评论 教程很详细,如果加个前端chatgpt对话页面就完美了..博主 在
科学上网翻墙之v2rayN-Core客户端免费公益节点使用教程中评论 @ mashrdn 多切换几个节点测试,免费ssr是没那么稳..Copyright·© 2019 侯体宗版权所有· 粤ICP备20027696号