Laravel Framework 安全漏洞 - 山西鑫鼎宸科技股份有限公司

我的位置：

Laravel Framework 安全漏洞

CNNVD编号：CNNVD-202111-1213
危害等级：中危
CVE编号： CVE-2021-43617
漏洞类型：其他
威胁类型：未知
厂商：未知
漏洞来源：国家信息安全漏洞库
发布时间：2021-11-16
更新时间：2021-11-16

漏洞简介

Laravel Framework是Taylor Otwell个人开发者的一款基于PHP的Web应用程序开发框架。

Laravel Framework8.70.2之前版本存在安全漏洞，该漏洞源于框架并没有充分阻止可执行PHP内容的上传，因为Illuminate/Validation/Concerns/ValidatesAttributes.php缺少对.phar文件的检查，这些文件在基于Debian的系统上被处理为application/x-httpd-php。在某些用例中，这可能与图像上传的文件类型验证有关。

漏洞公示

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法：

https://github.com/laravel/framework

参考网站

来源:MISC

链接:https://salsa.debian.org/php-team/php/-/blob/dc253886b5b2e9bc8d9e36db787abb083a667fd8/debian/php-cgi.conf#L5-6

来源:MISC

链接:https://github.com/laravel/framework/blob/2049de73aa099a113a287587df4cc522c90961f5/src/Illuminate/Validation/Concerns/ValidatesAttributes.php#L1331-L1333

来源:MISC

链接:https://salsa.debian.org/php-team/php/-/commit/dc253886b5b2e9bc8d9e36db787abb083a667fd8

来源:MISC

链接:https://github.com/laravel/framework/blob/2049de73aa099a113a287587df4cc522c90961f5/src/Illuminate/Validation/Concerns/ValidatesAttributes.php#L1130-L1132

来源:MISC

链接:https://hosein-vita.medium.com/laravel-8-x-image-upload-bypass-zero-day-852bd806019b

受影响实体

暂无

补丁

暂无

返回漏洞列表