Laravel 允许通过查询字符串操作环境(CVE-2024-52301)
CVE编号
CVE-2024-52301
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-13
漏洞描述
Laravel 是一个 Web 应用框架。当 PHP 的 `register_argc_argv` 指令设置为开启状态时,用户通过调用带有特殊构造查询字符串的任意 URL,能够更改框架在处理请求时所使用的环境。在 6.20.45、7.30.7、8.83.28、9.52.17、10.48.23 和 11.31.0 版本中修复了这一漏洞。现在,框架在非 CLI SAPI 上进行环境检测时会忽略 argv 值。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论