I. Descrição

Uma equipe de segurança emitiu um comunicado oficial divulgando a vulnerabilidade de execução remota de código (CVE-2021-3129) em versões do Laravel anteriores à 8.4.3. O Laravel é um framework PHP livre de código aberto para a web. Pacotes Ignition anteriores à versão 2.5.2, usados em versões do Laravel anteriores à 8.4.3, possuem uma vulnerabilidade que possibilita a atacantes remotos não autorizados executar códigos arbitrários em sites por meio do modo debug. Detalhes sobre como a vulnerabilidade pode ser explorada foram revelados.

Se você for um usuário do Laravel, verifique suas versões tanto do Laravel quanto do Ignition e implemente medidas para a mitigação de riscos à segurança a tempo.

Para mais informações sobre essa vulnerabilidade, acesse o site a seguir:

https://www.ambionics.io/blog/laravel-debug-rce?spm=a2c4g.11174386.n2.4.7e0d10515RCoXc

II. Gravidade

Gravidade: importante

(Gravidade: baixa, moderada, importante e crítica)

III. Produtos afetados

Versões afetadas:

Versões do Laravel anteriores à 8.4.3

Facade Ignition anterior à versão 2.5.2

Versões seguras:

Laravel 8.4.3 e posteriores

Facade Ignition 2.5.2 e posteriores

IV. Tratamento da vulnerabilidade

Essa vulnerabilidade foi corrigida nas versões oficiais mais recentes. Caso a versão do seu serviço faça parte do escopo afetado, atualize-a para uma versão mais recente segura.

https://github.com/laravel/laravel/releases

https://github.com/facade/ignition/releases

O WAF da HUAWEI CLOUD consegue realizar a defesa contra essa vulnerabilidade. Caso você seja um usuário do WAF, configure o status da proteção web básica para Block. Para mais detalhes, veja como configurar regras de proteção web básicas.

Observação: Antes de corrigir as vulnerabilidades, faça o backup dos seus arquivos e realize um teste completo.