CVE-2021-3129 Laravel

Команда Ambionics Security обнаружила уязвимость удаленного выполнения кода в компоненте Laravel. Номер уязвимости – CVE-2021-3129.

Подробности уязвимости

Уязвимость возникает из-за того, что в режиме отладки некоторые интерфейсы встроенной функции Laravel Ignition не фильтруют входные данные строго, что позволяет злоумышленникам использовать вредоносные файлы журналов, чтобы вызвать атаки phar-десериализации, удаленное выполнение кода и, наконец, получить сервер. разрешения.

Затронутая версия

  • Laravel <8.4.3
  • Фасадное зажигание <2.5.2

Решение

Вышел последний патч безопасности. Рекомендуется, чтобы затронутые пользователи обновили фреймворк Laravel.

adPlace

Рабочий сценарий эксплойта

https://github.com/ambionics/laravel-exploits