2021年1月13日,阿里云应急响应中央监控到外洋某平安研究团队披露了Laravel <= 8.4.2 存在远程代码执行破绽。
破绽形貌
Laravel 是一个免费的开源 PHP Web 框架,旨在实现的Web软件的MVC架构。2021年1月13日,阿里云应急响应中央监控到外洋某平安研究团队披露了 Laravel <= 8.4.2 存在远程代码执行破绽。当Laravel开启了Debug模式时,由于Laravel自带的Ignition功效的某些接口存在过滤不严,攻击者可以提议恶意请求,通过组织恶意Log文件等方式触发Phar反序列化,从而造成远程代码执行,控制服务器。破绽细节已在互联网公然。阿里云应急响应中央提醒 Laravel 用户尽快接纳平安措施阻止破绽攻击。
影响版本
Laravel 框架 < 8.4.3
facade ignition 组件 < 2.5.2
平安版本
Laravel 框架 >= 8.4.3
facade ignition 组件 >= 2.5.2
,菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。
平安建议
建议将 Laravel 框架升级至8.4.3及其以上版本,或者将 facade ignition组件升级至 2.5.2 及其以上版本。
相关链接
https://github.com/facade/ignition/pull/334
https://www.ambionics.io/blog/laravel-debug-rce
阿里云云平安中央应急破绽模块已支持对该破绽一键检测
阿里云云防火墙已可防御此破绽攻击
我们会关注后续希望,请随时关注官方通告。
若有任何问题,可随时通过工单或服务电话95187联系反馈。
阿里云应急响应中央
2021.01.13
迎接关注阿里云应急响应民众号
网友评论
菜包钱包
回复阳光在线官网(原诚信在线官网现平心在线)现已开放阳光在线电脑版、手机版下载、企业邮局登录、会员开户、代理合作等服务。交书迷朋友~
电银付POS机
回复Allbet Game欧博亚洲(Allbet Game)是欧博Allbet在亚洲建立的战略合作拓展事业部。欧博亚洲(Allbet Game)开放欧博平台网址、会员注册充值提现、代理开户、电脑客户端下载、IOS APP下载、安卓下载、欧博真人游戏(百家乐)等业务。难得的好文
联博以太坊
回复梦幻补偿礼包梦幻补偿礼包体验真不错