功能型网站 设计,灯笼制作手工简单又漂亮,建设英文网站,建个简单的网站今日#xff0c;亚信安全CERT监控到安全社区研究人员发布安全通告#xff0c;披露了Laravel 参数注入漏洞(CVE-2024-52301)。在受影响的版本中#xff0c;Application.php 文件的 detectEnvironment 函数直接使用了 $_SERVER[argv]#xff0c;但没有检查运行环境是否为 CLI…
今日亚信安全CERT监控到安全社区研究人员发布安全通告披露了Laravel 参数注入漏洞(CVE-2024-52301)。在受影响的版本中Application.php 文件的 detectEnvironment 函数直接使用了 $_SERVER[argv]但没有检查运行环境是否为 CLI。如果 register_argc_argv 设置为 on即使是 Web 请求 $_SERVER[argv] 也可会被填充从而造成危险行为。攻击者可以在 URL 中构造参数从而改变框架运行环境。
亚信安全CERT建议受影响的用户将Laravel 升级至最新版本 。
Laravel 是一个开源的 PHP 框架用于开发 Web 应用程序。它采用了 MVC设计模式旨在简化常见的 Web 开发任务提供易用的工具和功能使开发人员能够更高效地构建应用程序。
漏洞编号、类型、等级 受影响版本
Laravel 6.20.457.0.0 Laravel 7.30.78.0.0 Laravel 8.83.289.0.0 Laravel 9.52.1710.0.0 Laravel 10.48.2311.0.0 Laravel 11.31.0 产品解决方案
目前亚信安全怒狮引擎已第一时间新增了检测规则支持CVE-2024-52301漏洞的检测请及时更新TDA产品的特征库到最新版本。规则编号106064056规则名称Laravel环境变量注入漏洞(CVE-2024-52301)。
更新方式如下
TDA产品在线更新方法登录系统-》系统管理-》系统升级-》特征码更新TDA产品离线升级PTN包下载链接如下 修复建议
目前官方已发布相关修复公告建议受影响的用户将Laravel更新到最新版本或者到官网查询具体补丁信息。
