漏洞描述:
Laravel是Laravel社区的一个Web 应用程序框架,同时使用SQL Server数据库和Laravel框架,并且Web应用允许用户输入参数直接传递参数到limit和offset函数,存在SQL注入风险,其他数据库如MySQL和Postgres不受此漏洞影响
影响范围:
laravel/framework@[6.0.0, 6.20.26)
laravel/framework@[7.0.0, 7.30.5)
laravel/framework@[8.0.0, 8.40.0)
修复方案:
对用户输入的参数进行验证或预处理,确保传至分页函数(如:limit、offset、skip和take)时为整数
将组件 laravel/framework 升级至 7.30.5 及以上版本
将组件 laravel/framework 升级至 8.40.0 及以上版本
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/76213.html
