Laravel9.1.8存在多个安全漏洞、命令执行漏洞

这些允许通过反序列化POP链实现远程代码执行漏洞影响的laravel版本是9.1.8

ps:图片转自国家信息安全漏洞共享平台

https://www.cnvd.org.cn/flaw/show/CNVD-2022-44351

CVE ID：CVE-2022-31279

事件

HTTP_安全漏洞_laravel_pop3利用链攻击[CVE-2022-31279][CNNVD-202206-671]

描述

Laravel9.1.8在处理攻击者控制的反序列化数据时，

允许通过Illuminate\Broadcasting\PendingBroadcast.php

中的__destruct和Faker\Generator.php中的__call中的未序列化弹出链执行远程代码执行(RCE)。

多个漏洞详情

CVE-2022-30778：Laravel远程代码执行漏洞

Laravel 9.1.8在处理反序列化数据时，
允许通过Illuminate\Broadcasting\PendingBroadcast.php中的__destruct中的反序列化POP链和
Illuminate\Bus\QueueingDispatcher.php中的dispatch($command)实现远程代码执行。

CVE-2022-30779：Laravel远程代码执行漏洞

Laravel 9.1.8在处理反序列化数据时，
允许通过GuzzleHttp\Cookie\FileCookieJar.php中__destruct中的反序列化POP链实现远程代码执行。

CVE-2022-31279：Laravel远程代码执行漏洞

Laravel 9.1.8在处理反序列化数据时，
允许通过 Illuminate\Broadcasting\PendingBroadcast.php中的 __destruct 和 
Faker\Generator.php 中的 __call 中的反序列化POP链实现远程代码执行。

CVE-ID暂无：Laravel远程代码执行漏洞

Laravel 9.1.8在处理反序列化数据时，
允许通过反序列化POP链实现远程代码执行：
(1) Illuminate\Routing\PendingResourceRegistration.php中的__destruct；
 (2) Illuminate\Routing\PendingResourceRegistration.php中的register；
 (3) Faker\Generator.php中的__call。

建议

受影响用户可以升级到最新版本。

下载链接：

https://github.com/laravel/laravel/releases