Laravel Framework 安全漏洞

CNNVD-ID编号	CNNVD-202111-1213
CVE编号	CVE-2021-43617
发布时间	2021-11-14
更新时间	2021-11-15
漏洞类型	其他
漏洞来源	N/A
危险等级	中危
威胁类型	N/A
厂商	N/A

漏洞介绍

Laravel Framework是Taylor Otwell个人开发者的一款基于PHP的Web应用程序开发框架。 Laravel Framework8.70.2之前版本存在安全漏洞，该漏洞源于框架并没有充分阻止可执行PHP内容的上传，因为Illuminate/Validation/Concerns/ValidatesAttributes.php缺少对.phar文件的检查，这些文件在基于Debian的系统上被处理为application/x-httpd-php。在某些用例中，这可能与图像上传的文件类型验证有关。

漏洞补丁

目前厂商暂未发布修复措施解决此安全问题，建议使用此软件的用户随时关注厂商主页或参考网址以获取解决办法： https://github.com/laravel/framework

参考网址

来源:MISC

链接：https://salsa.debian.org/php-team/php/-/blob/dc253886b5b2e9bc8d9e36db787abb083a667fd8/debian/php-cgi.conf#L5-6
来源:MISC

链接：https://github.com/laravel/framework/blob/2049de73aa099a113a287587df4cc522c90961f5/src/Illuminate/Validation/Concerns/ValidatesAttributes.php#L1331-L1333
来源:MISC

链接：https://salsa.debian.org/php-team/php/-/commit/dc253886b5b2e9bc8d9e36db787abb083a667fd8
来源:MISC

链接：https://github.com/laravel/framework/blob/2049de73aa099a113a287587df4cc522c90961f5/src/Illuminate/Validation/Concerns/ValidatesAttributes.php#L1130-L1132

受影响实体

暂无

信息来源

http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-202111-1213