一、 漏洞 CVE-2018-15133 基础信息
漏洞信息
                                        # N/A

## 漏洞概述
Laravel Framework特定版本中存在远程代码执行漏洞,原因是通过对潜在不可信的X-XSRF-TOKEN值进行反序列化调用。此漏洞涉及`Illuminate/Encryption/Encrypter.php`中的`decrypt`方法和`phpggc`中的`PendingBroadcast`。

## 影响版本
- Laravel Framework 5.5.0 - 5.5.40
- Laravel Framework 5.6.0 - 5.6.29

## 漏洞细节
攻击者可以通过对`X-XSRF-TOKEN`值进行反序列化,利用该漏洞实现远程代码执行。该过程涉及`Illuminate/Encryption/Encrypter.php`文件中的`decrypt`方法以及`phpggc`库中的`PendingBroadcast`类。

## 影响
为了利用该漏洞,攻击者必须知道应用程序密钥,这在正常情况下不会发生,但如果有先前的特权访问或已成功地执行了其他攻击,则可能发生这种情况。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Laravel Framework through 5.5.40 and 5.6.x through 5.6.29, remote code execution might occur as a result of an unserialize call on a potentially untrusted X-XSRF-TOKEN value. This involves the decrypt method in Illuminate/Encryption/Encrypter.php and PendingBroadcast in gadgetchains/Laravel/RCE/3/chain.php in phpggc. The attacker must know the application key, which normally would never occur, but could happen if the attacker previously had privileged access or successfully accomplished a previous attack.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Laravel Framework 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Laravel framework是软件开发者Taylor Otwell开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.40及之前版本和5.6.x版本至5.6.29版本中存在安全漏洞。远程攻击者可借助应用程序的密钥利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-15133 的公开POC
# POC 描述 源链接 神龙链接
1 PoC for CVE-2018-15133 (Laravel unserialize vulnerability) https://github.com/kozmic/laravel-poc-CVE-2018-15133 POC详情
2 Cette exploit en python va vous permettre de créer des listes de sites et les exploiter rapidement. https://github.com/Bilelxdz/Laravel-CVE-2018-15133 POC详情
3 Laravel-PHP-Unit-RCE (CVE-2018-15133) Auto Exploiter and Shell Uploader https://github.com/Prabesh01/Laravel-PHP-Unit-RCE-Auto-shell-uploader POC详情
4 CVE-2018-15133 (Webased) https://github.com/bukitbarisan/laravel-rce-cve-2018-15133 POC详情
5 An automated PoC for CVE 2018-15133 https://github.com/AlienX2001/better-poc-for-CVE-2018-15133 POC详情
6 Exploit for Laravel Remote Code Execution with API_KEY (CVE-2018-15133) https://github.com/aljavier/exploit_laravel_cve-2018-15133 POC详情
7 Laravel RCE exploit. CVE-2018-15133 https://github.com/pwnedshell/Larascript POC详情
8 None https://github.com/AzhariKun/CVE-2018-15133 POC详情
9 "Lavel Exploit CVE-2018-15133 is a powerful exploit that allows attackers to gain unauthorized access to vulnerable systems. This exploit was originally developed as part of a Capture The Flag (CTF) challenge and has since been used by security researchers and ethical hackers to identify and address vulnerabilities in web applications. https://github.com/NatteeSetobol/CVE-2018-15133-Lavel-Expliot POC详情
10 None https://github.com/0xSalle/cve-2018-15133 POC详情
11 None https://github.com/yeahhbean/Laravel-CVE-2018-15133 POC详情
三、漏洞 CVE-2018-15133 的情报信息
四、漏洞 CVE-2018-15133 的评论

暂无评论

发表评论