Laravel框架limit和offset处存在SQL注入 (MPS-19wf-rmek)

漏洞类型 SQL注入 发现时间 2024-05-16 漏洞等级 严重
MPS编号 MPS-19wf-rmek CVE编号 漏洞影响广度

漏洞危害

OSCS 描述
Laravel是Laravel社区的一个Web 应用程序框架。
同时使用SQL Server数据库和Laravel框架,并且Web应用允许用户输入参数直接传递参数到limit和offset函数,存在SQL注入风险。其他数据库如MySQL和Postgres不受此漏洞影响。
参考链接:https://www.oscs1024.com/hd/MPS-19wf-rmek

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
laravel/framework [6.0.0, 6.20.26) 缓解措施 对用户输入的参数进行验证或预处理,确保传至分页函数(如:limit、offset、skip和take)时为整数
laravel/framework [7.0.0, 7.30.5) 升级 将组件 laravel/framework 升级至 7.30.5 及以上版本
laravel/framework [8.0.0, 8.40.0) 升级 将组件 laravel/framework 升级至 8.40.0 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-19wf-rmek

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-19wf-rmek

https://github.com/advisories/GHSA-wq8p-mqvg-2p5h

https://github.com/laravel/framework/security/advisories/GHSA-4mg9-vhxq-vm7j

https://github.com/laravel/framework/commit/09bf1457e9df53e172e6fd5929cbafb539677c7c

(0)
上一篇 2024年5月16日
下一篇 2024年5月17日

相关推荐

  • Apache Dubbo 3.1.5 反序列化漏洞 (CVE-2023-46279)

    漏洞类型 反序列化 发现时间 2023-12-15 漏洞等级 严重 MPS编号 MPS-k3ml-xyci CVE编号 CVE-2023-46279 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架。 在3.1.5版本中,由于新增的SerializeSecurityManager类存在缺陷,…

    2023年12月18日
    0
  • Google Chrome Blink 内存越界访问漏洞 (CVE-2024-1669)

    漏洞类型 越界读取 发现时间 2024-02-21 漏洞等级 高危 MPS编号 MPS-e80z-3t4y CVE编号 CVE-2024-1669 漏洞影响广度 广 漏洞危害 OSCS 描述 Google Chrome 是谷歌公司开发的一款Web浏览器,其中使用的Blink作为其渲染引擎。 在受影响的版本中,Blink引擎的Web Neural Networ…

    2024年2月22日
    0
  • Splunk Enterprise XSLT 远程代码执行漏洞 (CVE-2023-46214)

    漏洞类型 XPath盲注 发现时间 2023-11-21 漏洞等级 高危 MPS编号 MPS-1j9c-4oyt CVE编号 CVE-2023-46214 漏洞影响广度 一般 漏洞危害 OSCS 描述 Splunk 是一款机器数据的引擎,可用于收集、索引和利用所有应用程序、服务器和设备生成的快速移动型计算机数据 。 Splunk 受影响版本存在任意代码执行漏…

    2023年11月21日
    0
  • FFmpeg < 7.0 释放后使用漏洞 (CVE-2024-31578)

    漏洞类型 UAF 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-y94m-eo71 CVE编号 CVE-2024-31578 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是处理多媒体内容的开源库和工具的集合。 FFmpeg < 7.0 版本中,由于av_hwframe_ctx_init函数中错误地假设frames_uni...

    漏洞 2024年4月22日
    0
  • SugarCRM 存在二阶PHP对象注入漏洞 (CVE-2023-35810)

    漏洞类型 代码注入 发现时间 2023/6/19 漏洞等级 高危 MPS编号 MPS-lf2x-y6h4 CVE编号 CVE-2023-35810 漏洞影响广度 一般 漏洞危害 OSCS 描述 SugarCRM 是一款开源的客户关系管理(CRM)软件。受影响版本中,由于缺少输入验证,DocuSign 模块中存在二阶 PHP 对象注入漏洞。具有管理员权限的攻击…

    2023年8月30日
    0