一、 漏洞 CVE-2024-52301 基础信息
漏洞信息
# Laravel 允许通过查询字符串操纵环境
## 漏洞概述
Laravel 是一个网络应用程序框架。当 `register_argc_argv` PHP 指令被设置为 `on` 时,用户可以通过调用带有特殊构造查询字符串的 URL 来改变框架处理请求时所使用的环境。
## 影响版本
- 6.20.45
- 7.30.7
- 8.83.28
- 9.52.17
- 10.48.23
- 11.31.0
## 漏洞细节
当 `register_argc_argv` PHP 指令被设置为 `on` 时,攻击者可以通过构造特殊的查询字符串来篡改框架处理请求时的运行环境。
## 影响
该漏洞已在上述版本中修复,此次修复中,框架在非 CLI SAPI 中处理请求时会忽略 `argv` 值进行环境检测。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Laravel allows environment manipulation via query string
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Laravel is a web application framework. When the register_argc_argv php directive is set to on , and users call any URL with a special crafted query string, they are able to change the environment used by the framework when handling the request. The vulnerability fixed in 6.20.45, 7.30.7, 8.83.28, 9.52.17, 10.48.23, and 11.31.0. The framework now ignores argv values for environment detection on non-cli SAPIs.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
参数注入或修改
来源:美国国家漏洞数据库 NVD
漏洞标题
Laravel 参数注入漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Laravel是Laravel社区的一个Web 应用程序框架。 Laravel存在参数注入漏洞。攻击者利用该漏洞可以使用特制的查询字符串调用任何URL。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52301 的公开POC
三、漏洞 CVE-2024-52301 的情报信息
-
标题: Environment manipulation via query string · Advisory · laravel/framework · GitHub -- 🔗来源链接
标签: x_refsource_CONFIRM
神龙速读
- https://nvd.nist.gov/vuln/detail/CVE-2024-52301