Laravel框架驚現(xiàn)高危漏洞攻擊者可肆意植入惡意腳本

安全 PRO 稿源：星塵安全 2025-04-07 03:17

Laravel 框架中出現(xiàn)了一個(gè)極為嚴(yán)重的安全漏洞（編號為 CVE-2024-13918）。攻擊者能夠借此在運(yùn)行該流行 PHP 框架特定版本的網(wǎng)站上，隨意執(zhí)行 JavaScript 代碼。

這個(gè)漏洞是在 Laravel 調(diào)試模式下的錯(cuò)誤頁面渲染環(huán)節(jié)被發(fā)現(xiàn)的。當(dāng)應(yīng)用程序處于開發(fā)配置狀態(tài)時(shí)，就容易受到反射性跨站點(diǎn)腳本（XSS）攻擊。CVSS v3.1 評分為 8.0 分，受影響的 Laravel 版本為 11.9.0 至 11.35.1。

漏洞觸發(fā)機(jī)制

當(dāng)通過.env 配置文件中的 APP_DEBUG=true 設(shè)置開啟調(diào)試模式后，Laravel 的錯(cuò)誤處理系統(tǒng)就會(huì)暴露出這個(gè)漏洞。在受影響的版本里，框架的錯(cuò)誤頁面在展示 HTTP 500 錯(cuò)誤的診斷信息時(shí)，對請求參數(shù)的編碼處理存在錯(cuò)誤。

攻擊者會(huì)利用這一點(diǎn)，精心構(gòu)造惡意 URL，在查詢參數(shù)或者 POST 數(shù)據(jù)里嵌入 JavaScript 攻擊載荷。從技術(shù)層面來看，根本原因在于 Laravel 的 Blade 模板引擎，在調(diào)試錯(cuò)誤頁面中渲染請求參數(shù)時(shí)，使用了未轉(zhuǎn)義的輸出指令（{! !!}），這就繞過了 Laravel 原本由安全的 {{ }} 語法自動(dòng)進(jìn)行 HTML 實(shí)體編碼所提供的 XSS 防護(hù)機(jī)制。在錯(cuò)誤頁面模板中，就能看到這段容易引發(fā)問題的代碼片段。

一旦開發(fā)人員配置了 APP_DEBUG=true，這種未轉(zhuǎn)義的輸出方式就會(huì)讓原始的 HTML/JavaScript 內(nèi)容得以注入。這種情況一般出現(xiàn)在開發(fā)階段，但有時(shí)候在生產(chǎn)環(huán)境中也會(huì)意外開啟。這個(gè)漏洞是由 SBA Research 的研究人員 Philipp Adelsberger 和 Fabian Funder 發(fā)現(xiàn)的。

POC方式

有一個(gè)POC展示了這種攻擊的實(shí)現(xiàn)方式：

在 .env 中使用 APP_DEBUG=true 配置 Laravel 創(chuàng)建觸發(fā)錯(cuò)誤的測試路由：

制作攻擊 URL：

當(dāng)訪問這個(gè) URL 時(shí)，會(huì)觸發(fā)除零錯(cuò)誤，使得 Laravel 渲染包含未轉(zhuǎn)義的 payload 參數(shù)的調(diào)試錯(cuò)誤頁面，瀏覽器就會(huì)執(zhí)行注入的腳本，進(jìn)而導(dǎo)致用戶會(huì)話信息被泄露，或者被執(zhí)行未經(jīng)授權(quán)的操作。