【漏洞详情】

Laravel 是一个免费的开源 PHP Web 框架，平安云安全中心监测到Laravel <= 8.4.2 存在远程代码执行漏洞。当Laravel开启了Debug模式时，由于Laravel自带的Ignition功能校验不严，攻击者可通过构造恶意Log文件等触发Phar反序列化，从而造成远程代码执行。 

【漏洞评级】

高危

【 影响范围】

l  Laravel 框架 < 8.4.3

l  facade ignition 组件 < 2.5.2

【修复建议】

官方已发布安全版本，建议受影响的用户结合实际业务评估漏洞风险影响，可通过如下方案避免安全风险。

方案一，将 Laravel 框架升级至8.4.3及其以上版本

方案二，将 facade ignition组件升级至 2.5.2 及其以上版本

【参考链接】

https://www.ambionics.io/blog/laravel-debug-rce

特别提醒：安全加固前请进行充分测试，并务必做好数据备份和快照，防止出现意外。

平安云

2021年1月13日