Laravel 框架中出现了一个极为严重的安全漏洞(编号为 CVE-2024-13918)。攻击者能够借此在运行该流行 PHP 框架特定版本的网站上,随意执行 JavaScript 代码。 这个漏洞是在 Laravel 调试模式下的错误页面渲染环节被发现的。当应用程序处于开发配置状态时,就容易受到反射性跨站点脚本(XSS)攻击。CVSS v3.1 评分为 8.0
Laravel 框架中出现了一个极为严重的安全漏洞(编号为CVE-2024-13918)。攻击者能够借此在运行该流行 PHP 框架特定版本的网站上,随意执行 JavaScript 代码。 这个漏洞是在 Laravel 调试模式下的错误页面渲染环节被发现的。当应用程序处于开发配置状态时,就容易受到反射性跨站点脚本(XSS)攻击。CVSS v3.1 评分为 8.0 分...
修复建议:升级至安全版本,审查代码,加强输入验证,以及增强监控和日志记录功能。 环境变量注入漏洞(CVE-2024-52301): 漏洞描述:由于框架在非CLI模式下处理请求时未正确隔离PHP的argv参数,攻击者可以通过向任意URL发送附带特制查询字符串的请求,来更改框架在请求处理时使用的环境配置。 影响版本:包括Laravel 6.x、7.x、...
今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Laravel 参数注入漏洞(CVE-2024-52301)。在受影响的版本中,Application.php 文件的 detectEnvironment 函数直接使用了 $_SERVER['argv'],但没有检查运行环境是否为 CLI。如果 register_argc_argv 设置为 on,即使是 Web 请求 $_SERVER['argv'] 也可...
栋科技漏洞库关注到 Laravel 近期修复一个环境变量注入漏洞,该漏洞被追踪为CVE-2024-52301,漏洞CVSS评分为8.7,影响范围较广。 Laravel是一套简洁、优雅的PHP Web开发框架(PHP Web Framework),提供一系列工具和特性,旨在简化Web应用程序的开发过程。 一、基本情况 ...
在Livewire 中发现了一个新发现的漏洞 CVE-2024-47823,Livewire 是 Laravel 的一个流行全栈框架,用于在不离开 PHP 的情况下构建动态 UI 组件。该安全漏洞的 CVSS 得分为 7.7,允许攻击者利用文件上传,在受影响的系统上实现远程代码执行 (RCE)。 Livewire 与 Laravel 无缝集成,简化了动态用户界面的开发。然而,在 ...
安全研究人员sv-LayZ发现并披露了 Filament 扩展包 Laravel 中的一个严重XSS漏洞,该漏洞被标记为CVE-2024-47186。 Filament是一个用于加速Laravel开发的全栈组件集合,专为Laravel开发者打造,旨在提高开发效率并提供卓越用户体验。 Filament 项目设计核心理念是减少重复工作,帮助开发者在构建管理界面、用户界面或者 SaaS 平...
规则编号:106064056,规则名称:Laravel环境变量注入漏洞(CVE-2024-52301)。 更新方式如下: TDA产品在线更新方法:登录系统-》系统管理-》系统升级-》特征码更新; TDA产品离线升级PTN包下载链接如下: 修复建议 目前,官方已发布相关修复公告,建议受影响的用户将Laravel更新到最新版本或者到官网查询具体补丁信息。
今日,亚信安全CERT监控到安全社区研究人员发布安全通告,披露了Laravel 参数注入漏洞(CVE-2024-52301)。在受影响的版本中,Application.php 文件的 detectEnvironment 函数直接使用了 $_SERVER['argv'],但没有检查运行环境是否为 CLI。如果 register_argc_argv 设置为 on,即使是 Web 请求 $_SERVER['argv'] 也可会被...
Laravel是一个基于PHP的开源Web应用框架,它提供了一系列工具和特性,旨在简化Web应用程序的开发过程,Laravel中修复了一个环境变量注入漏洞(CVE-2024-52301),该漏洞的CVSS评分为8.7,Laravel框架受影响版本中,由于框架在非CLI模式下处理请求时未正确隔离PHP的argv参数,当register_argc_argv PHP指令被设置为on时,攻击者可以...