1、漏洞概述
近日,WebRAY安全服務産品線監測到Laravel官方釋出Laravel遠端代碼執行漏洞,漏洞編号為CVE-2021-43503。在Laravel開啟Debug模式的時候,由于某些函數過濾不嚴格,攻擊者可以通過構造惡意檔案等方式觸發反序列化漏洞,進而執行任意指令控制伺服器,存在問題的POP鍊,檔案及函數分别為:laravel5.8\vendor\laravel\framework\src\Illuminate\Routing\PendingResourceRegistration.php中的__destruct()函數laravel5.8\vendor\laravel\framework\src\Illuminate\Queue\Capsule\Manager. php中的__call()函數laravel5.8\vendor\mockery\mockery\library\Mockery\ClosureWrapper.php中的__invoke()函數
Laravel是一套簡潔、優雅的PHPWeb開發架構,由于Laravel代碼本身的表現力和良好的文檔使PHP程式編寫更為輕松,Laravel提供了強大的工具用以開發大型、健壯的應用。
WebRAY安全服務産品線也将持續關注該漏洞進展,并及時為您更新該漏洞資訊。
2、影響範圍
| 漏洞編号 | 漏洞 | 影響版本 |
| CVE-2021-43503 | Laravel | Laravel 5.8.38 |
3、漏洞等級
WebRAY安全服務産品線風險評級:高危
![Centos 7 Apache配置虛拟主機[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)