Laravel Framework 安全漏洞
反序列化
Laravel framework是软件开发者Taylor Otwell开发的一款基于PHP的Web应用程序开发框架。
Laravel framework 5.5.40及之前版本和5.6.x版本至5.6.29版本中存在安全漏洞。远程攻击者可借助应用程序的密钥利用该漏洞执行代码。
Sensio Labs Symfony HttpFoundation组件安全漏洞
不充分的会话过期机制
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架,它提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。HttpFoundation是其中的一个针对HTTP协议定义面向对象层的组件。
Sensio Labs Symfony中的HttpFoundation组件存在安全漏洞。攻击者可借助特制的载荷利用该漏洞在Symfony应用程序上造成拒绝服务(无限循环)。以下版本受到影响:Symfony 2.7.48之前的2.7.x版本,2.8.41之前的2.8.x版本,3.3.17之前的3.3.x版本,3.4.11之前的3.4.x版本,4.0.11之前的4.0.x版本。
Laravel Framework存在未明漏洞
危险类型文件的不加限制上传
Laravel Framework是Taylor Otwell个人开发者的一款基于PHP的Web应用程序开发框架。Laravel Framework8.70.2之前版本存在安全漏洞,该漏洞源于框架并没有充分阻止可执行PHP内容的上传,因为Illuminate/Validation/Concerns/ValidatesAttributes.php缺少对.phar文件的检查,这些文件在基于Debian的系统上被处理为application/x-httpd-php。在某些用例中,这可能与图像上传的文件类型验证有关。 目前没有详细的漏洞细节提供。
laravel/framework 存在输入验证不恰当漏洞
输入验证不恰当
laravel/framework 是一个供 web 工匠使用的 PHP 框架。此软件包的受影响版本很容易通过大量分配包含模型表名称的 Eloquent 属性来进行不正确的输入验证。
laravel/framework 存在敏感数据加密缺失漏洞
敏感数据加密缺失
laravel/framework 是一个 Web 应用程序框架。由于加密失败,此软件包的受影响版本易受攻击。 Encrypter 功能可能在解密期间失败并意外返回 false。
PSR-7 Message Implementation 输入验证错误漏洞
输入验证不恰当
PSR-7 Message Implementation是一个完整的 PSR-7 消息实现。
PSR-7 Message Implementation 1.8.3 版本及之前版本和从 2.0.0 版本到 2.1.0 版本 psr7 存在输入验证错误漏洞。攻击者可以增加新的一行字符,并在其中传入不受信任的值。
Sensio Labs Symfony 跨站脚本漏洞
XSS
Sensio Labs Symfony是法国Sensio Labs公司的一套免费的、基于MVC架构的PHP开发框架。该框架提供常用的功能组件及工具,可用于快速创建复杂的WEB程序。
Sensio Labs Symfony中的debug handler存在跨站脚本漏洞,该漏洞源于程序对数组键转义不当。远程攻击者可利用该漏洞在用户浏览器中执行恶意的JavaScript代码。以下版本受到影响:Symfony 2.7.33之前版本,2.8.26之前的2.8.x 版本,3.2.13之前的3.x版本,3.3.6之前的3.3.x版本。
Guzzle是guzzlehttp个人开发者的一个 PHP HTTP 客户端,可以轻松发送 HTTP 请求并轻松与 Web 服务集成。
Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,该漏洞源于Cookie请求的标头是敏感信息,在向服务器发出请求时,该服务器会重定向到另一个主机来响应,Cookie标头也会被转发。
Laravel 是一个PHP的Web 应用程序框架。
Laravel 9.1.8 允许通过 Illuminate\Broadcasting\PendingBroadcast.php 中的 __destruct 和 Faker\Generator.php 中的 __call 处理恶意反序列化数据。
攻击者可利用该漏洞执行任意代码,甚至接管服务器。
laravel/framework 存在动态确定对象属性修改的控制不恰当漏洞
laravel/framework 是一个供 web 工匠使用的 PHP 框架。此软件包的受影响版本容易受到资源管理错误的影响。
laravel/framework 存在SQL注入漏洞
SQL注入
laravel/framework 是一个供 web 工匠使用的 PHP 框架。此软件包的受影响版本易受 SQL 注入攻击。那些使用带有 Laravel 的 SQL Server 并允许将用户输入直接传递给 limit 和 offset 函数的人容易受到 SQL 注入的攻击。
Guzzle是guzzlehttp个人开发者的一个 PHP HTTP 客户端,可以轻松发送 HTTP 请求并轻松与 Web 服务集成。
Guzzle 7.0.0版本至7.4.3版本,以及6.5.6之前的版本存在信息泄露漏洞,该漏洞允许恶意服务器为不相关的域设置cookie,攻击者可以利用该漏洞从Guzzle 客户端登录到他们的帐户,并从其帐户的安全日志中检索私有 API 请求。
Laravel是一套PHP开发框架,它可开发Web应用,并提供语法高亮显示、文档说明和扩展包等。
Laravel 5.5.10之前的版本中存在安全漏洞,该漏洞源于程序没有正确的处理remember_me令牌验证进程。攻击者可利用该漏洞实施时序攻击。
Laravel Framework 信息泄露漏洞
信息暴露
Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。
Laravel framework 5.5.21及之前的版本中存在安全漏洞。远程攻击者可利用该漏洞获取敏感信息(例如:密码)。
thephpleague flysystem 代码注入漏洞
Flysystem是一个开源文件存储库。
thephpleague flysystem存在代码注入漏洞,该漏洞源于在某些特定条件下,flysystem可能允许恶意用户远程执行代码。
Guzzle是guzzlehttp个人开发者的一个 PHP HTTP 客户端,可以轻松发送 HTTP 请求并轻松与 Web 服务集成。
Guzzle 存在安全漏洞,该漏洞源于CURLOPT_HTTPAUTH选项存在问题。攻击者利用漏洞可以绕过数据访问限制,读取敏感数据。
paragonie/random_compat 存在中间人攻击漏洞
中间人攻击
paragonie/random_compat 是由 Paragon Initiative Enterprises 创建和维护的用于 random_bytes() 和 random_int() 的 PHP 5.x polyfill。由于使用 OpenSSL,此软件包的受影响版本容易受到中间人 (MitM) 的攻击。
Laravel是Laravel 团队(Laravel)的一个Web 应用程序框架。
Laravel 9.1.8 版本存在安全漏洞,该漏洞源于在处理攻击者控制的反序列化数据时,可以执行远程代码。
Guzzle是guzzlehttp个人开发者的一个 PHP HTTP 客户端,可以轻松发送 HTTP 请求并轻松与 Web 服务集成。
Guzzle 6.5.6及之前版本、7.0.0 到 7.4.3 版本中存在信息泄露漏洞,该漏洞源于请求的标头是敏感信息,在向服务器发出请求时,该服务器会重定向到另一个主机来响应,Authorization标头也会被转发。
Guzzle是guzzlehttp个人开发者的一个 PHP HTTP 客户端,可以轻松发送 HTTP 请求并轻松与 Web 服务集成。
Guzzle存在安全漏洞。攻击者利用该漏洞通过 Authorization / Cookie Headers 绕过对 Guzzle 数据的访问限制,以便读取敏感信息。
评论