usdt充值（www.caibao.it）：【破绽预警】Laravel <= 8.4.2 Debug模式 _ignition 远程代码执行破绽

2021年1月13日，阿里云应急响应中央监控到外洋某平安研究团队披露了Laravel <= 8.4.2 存在远程代码执行破绽。

破绽形貌

Laravel 是一个免费的开源 PHP Web 框架，旨在实现的Web软件的MVC架构。2021年1月13日，阿里云应急响应中央监控到外洋某平安研究团队披露了 Laravel <= 8.4.2 存在远程代码执行破绽。当Laravel开启了Debug模式时，由于Laravel自带的Ignition功效的某些接口存在过滤不严，攻击者可以提议恶意请求，通过组织恶意Log文件等方式触发Phar反序列化，从而造成远程代码执行，控制服务器。破绽细节已在互联网公然。阿里云应急响应中央提醒 Laravel 用户尽快接纳平安措施阻止破绽攻击。

影响版本

Laravel 框架 < 8.4.3

facade ignition 组件 < 2.5.2

平安版本

Laravel 框架 >= 8.4.3

facade ignition 组件 >= 2.5.2

usdt跑分网

菜宝钱包（caibao.it）是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

平安建议

建议将 Laravel 框架升级至8.4.3及其以上版本，或者将 facade ignition组件升级至 2.5.2 及其以上版本。

相关链接

https://github.com/facade/ignition/pull/334

https://www.ambionics.io/blog/laravel-debug-rce

阿里云云平安中央应急破绽模块已支持对该破绽一键检测
阿里云云防火墙已可防御此破绽攻击

我们会关注后续希望，请随时关注官方通告。

若有任何问题，可随时通过工单或服务电话95187联系反馈。

阿里云应急响应中央

2021.01.13

迎接关注阿里云应急响应民众号