正文

Laravel Framework 代码问题漏洞

admin
admin V管理员 /0 评论 /12 阅读
0305
此篇文章发布距今已超过1150天,您需要注意文章的内容或图片是否可用!

漏洞信息详情

Laravel Framework 代码问题漏洞

  • CNNVD编号:CNNVD-202111-1213
    • <!--
  • 危害等级: 超危-->
  • 危害等级: 超危
  • CVE编号: CVE-2021-43617
  • 漏洞类型: 代码问题
  • 发布时间: 2021-11-14
  • 威胁类型: 远程
  • 更新时间: 2021-11-30
  • 厂        商:
  • 漏洞来源:

漏洞简介

Laravel Framework是Taylor Otwell个人开发者的一款基于PHP的Web应用程序开发框架。Illuminate是其中的一个组件。

Laravel Framework8.70.2之前版本存在安全漏洞,该漏洞源于框架并没有充分阻止可执行PHP内容的上传,因为Illuminate/Validation/Concerns/ValidatesAttributes.php缺少对.phar文件的检查,这些文件在基于Debian的系统上被处理为application/x-httpd-php。在某些用例中,这可能与图像上传的文件类型验证有关。

漏洞公告

目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法:

https://github.com/laravel/framework

参考网址

来源:MISC

链接:https://github.com/laravel/framework/blob/2049de73aa099a113a287587df4cc522c90961f5/src/Illuminate/Validation/Concerns/ValidatesAttributes.php#L1130-L1132

来源:MISC

链接:https://salsa.debian.org/php-team/php/-/blob/dc253886b5b2e9bc8d9e36db787abb083a667fd8/debian/php-cgi.conf#L5-6

来源:MISC

链接:https://github.com/laravel/framework/blob/2049de73aa099a113a287587df4cc522c90961f5/src/Illuminate/Validation/Concerns/ValidatesAttributes.php#L1331-L1333

来源:MISC

链接:https://hosein-vita.medium.com/laravel-8-x-image-upload-bypass-zero-day-852bd806019b

来源:MISC

链接:https://salsa.debian.org/php-team/php/-/commit/dc253886b5b2e9bc8d9e36db787abb083a667fd8

来源:nvd.nist.gov

链接:https://nvd.nist.gov/vuln/detail/CVE-2021-43617

受影响实体

    暂无


补丁

    暂无