register_argc_argv php が「on」に設定され、ユーザーが特別に細工されたクエリ文字列で任意の URL を呼び出すとき、Symfony の 5.4.46 より前のバージョン、6.4.14 より前の 6.x、7.1.7 より前の 7.x は脆弱です。リクエストを処理する際にカーネルが使用する環境またはデバッグモードが変更される可能性があります。

脆弱な Symfony コンポーネントが Laravel に埋め込まれているため、プラグインは脆弱な Laravel インスタンスを検出する可能性があることに注意してください。

5.4.46 版之前的 Symfony、6.4.14 版之前的 6.x 或 7.1.7 版之前的 7.x，當 register_argc_argv php 指示詞設為 'on' 或使用者呼叫任何含有特製查詢字串的 URL 時會產生漏洞。他們可以更改處理要求時核心所使用的環境或除錯模式。

請注意，由於有弱點的 Symfony 元件內嵌在 Laravel 中，因此 plugin 可能會偵測到有弱點的 Laravel 執行個體。

当 register_argc_argv php 指令设置为“on”，并且用户使用特别构建的查询字符串调用任何 URL 时，低于 5.4.46 的 Symfony 版本或低于 6.x 的 6.4.14 或低于 7.x 的 7.1.7 版本容易受到影响处理请求时内核使用的环境或调试模式。

请注意，由于易受攻击的 Symfony 组件内嵌于 Laravel 中，该插件可能会检测到易受攻击的 Laravel 实例。

Symfony versions prior to 5.4.46 or 6.x prior to 6.4.14 or 7.x prior to 7.1.7 is vulnerable when the register_argc_argv php directive is set to 'on' and users call any URL with a special crafted query string, they are able to change the environment or debug mode used by the kernel when handling the request.

Note that since the vulnerable Symfony component is embedded in Laravel, the plugin is likely to detect a vulnerable Laravel instance.

Linux/Unix ホストには、ベンダーが提供するパッチが利用できない脆弱性の影響を受ける複数のパッケージがインストールされています。

  - Laravel は Web アプリケーションフレームワークです。register_argc_argv php ディレクティブが で設定され、ユーザーが特別に細工されたクエリ文字列で URL を呼び出す場合、リクエストの処理時にフレームワークが使用する環境を変更することができます。 6.20.45、 7.30.7、 8.83.28、 9.52.17、 10.48.23、および 11.31.0で修正された脆弱性。フレームワークは、non-cli SAPI での環境検出で argv 値を無視するようになりました。
    (CVE-2024-52301)

Nessus は、ベンダーによって報告されたパッケージの存在に依存していることに注意してください。

リモートの Debian 11 ホストには、dla-3997 のアドバイザリに記載された脆弱性の影響を受けるパッケージがインストールされています。

    - ------------------------------------------------------------------------- Debian LTS アドバイザリ DLA-3997-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Chris Lamb 2024 年 12 月 21 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    パッケージ : php-laravel-framework バージョン : 6.20.14+dfsg-2+deb11u2 CVE ID : CVE-2024-52301 Debian のバグ : 1088189

    PHP で書かれた人気のウェブアプリケーションフレームワークである php-laravel-framework に、リモートから悪用可能な脆弱性があることが発見されました。

    register_argc_argv php ディレクティブがオンに設定され、ユーザーが特別に細工されたクエリ文字列を含む URL を呼び出すと、リクエストを処理するときにフレームワークが使用する環境を変更できるようになりました。

    Laravel が非 CLI API での環境検出の argv 値を無視するようになりました。

    Debian 11 bullseye において、この問題はバージョン 6.20.14+dfsg-2+deb11u2 で修正されました。

    お使いの php-laravel-framework パッケージをアップグレードすることを推奨します。

    php-laravel-framework の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください：
    https://security-tracker.debian.org/tracker/php-laravel-framework

    Debian LTS セキュリティアドバイザリに関する詳細、これらの更新をシステムに適用する方法、およびよくある質問については、こちらを参照してください。https://wiki.debian.org/LTS

Tenable は、前述の説明ブロックを Debian セキュリティアドバイザリから直接抽出しました。

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

远程 Debian 11 主机上安装的程序包受到 dla-3997 公告中提及的一个漏洞影响。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-3997-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Chris Lamb 2024 年 12 月 21 日 https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    程序包：php-laravel-framework 版本：6.20.14+dfsg-2+deb11u2 CVE ID：CVE-2024-52301 Debian 缺陷：1088189

    发现用 PHP 编写的热门 Web 应用程序框架 php-laravel-framework 中存在可远程利用的漏洞。

    当 register_argc_argv php 指令设置为 on 并且用户使用特制的查询字符串调用 URL 时，他们能够更改框架在处理请求时使用的环境。

    Laravel 现在会忽略非 CLI API 上环境检测的 argv 值。

    对于 Debian 11 bullseye，已在 6.20.14+dfsg-2+deb11u2 版本中修复此问题。

    我们建议您升级 php-laravel-framework 程序包。

    如需了解 php-laravel-framework 的详细安全状态，请参阅其安全跟踪页面：
    https://security-tracker.debian.org/tracker/php-laravel-framework

    有关 Debian LTS 安全公告、如何将这些更新应用到系统以及常见问题解答的更多信息，请访问以下网址：https://wiki.debian.org/LTS

Tenable 已直接从 Debian 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

Linux/Unix 主机中安装的一个或多个程序包受到一个漏洞影响，而供应商没有提供补丁程序。

  - Laravel 是一个 Web 应用程序框架。当 register_argc_argv php 指令设置为 on 且用户通过特制的查询字符串调用任何 URL 时他们能够在处理请求时更改框架使用的环境。该漏洞在 6.20.45、 7.30.7、 8.83.28、 9.52.17、 10.48.23和 11.31.0中修复。框架现在会忽略非 cli SAPI 上的环境检测的 argv 值。
    (CVE-2024-52301)

请注意，Nessus 依赖供应商报告的程序包是否存在进行判断。

遠端 Debian 11 主機上安裝的多個套件受到 dla-3997 公告中提及的一個弱點影響。

    - ------------------------------------------------------------------------- Debian LTS 公告 DLA-3997-1 debian-lts@lists.debian.org https://www.debian.org/lts/security/Chris Lamb 2024 年 12 月 21 日https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    套件：php-laravel-framework 版本：6.20.14+dfsg-2+deb11u2 CVE ID：CVE-2024-52301 Debian 錯誤：1088189

    據發現，php-laravel-framework (以 PHP 編寫的熱門 Web 應用程式架構) 包含可從遠端利用的弱點。

    將 register_argc_argv php 指令設定為「開啟」時，如果使用者呼叫包含特製查詢字串的 URL，則可以在程式處理此要求時更改此架構使用的環境。

    Laravel 現在會針對非 CLI API 上的環境偵測略過 argv 的值。

    針對 Debian 11 Bullseye，已在 6.20.14+dfsg-2+deb11u2 版本中修正此問題。

    建議您升級 php-laravel-framework 套件。

    如需有關 php-laravel-framework 安全性狀態的詳細資訊，請參閱其安全追蹤頁面：
    https://security-tracker.debian.org/tracker/php-laravel-framework

    有關 Debian LTS 安全公告、如何將這些更新套用至您的系統以及常見問題的詳細資訊，請參閱：https://wiki.debian.org/LTS

Tenable 已直接從 Debian 安全公告擷取前置描述區塊。

請注意，Nessus 並未測試此問題，而是僅依據應用程式自我報告的版本號碼作出判斷。

Linux/Unix 主機上安裝了一個或多個受到弱點影響的套件，且供應商未提供可用的修補程式。

  - Laravel 是一個 Web 應用程式架構。當 register_argc_argv php 指示詞設為開啟 且使用者呼叫具有特製查詢字串的任何 URL時他們可在處理要求時變更架構使用的環境。此弱點已在 6.20.45、 7.30.7、 8.83.28、 9.52.17、 10.48.23和 11.31.0中修正。架構現在會針對非 cli SAPI 上的環境偵測忽略 argv 值。
    (CVE-2024-52301)

請注意，Nessus 依賴供應商報告的套件存在。

The remote Debian 11 host has packages installed that are affected by a vulnerability as referenced in the dla-3997 advisory.

    - -------------------------------------------------------------------------     Debian LTS Advisory DLA-3997-1                debian-lts@lists.debian.org     https://www.debian.org/lts/security/                           Chris Lamb     December 21, 2024                             https://wiki.debian.org/LTS
    - -------------------------------------------------------------------------

    Package        : php-laravel-framework     Version        : 6.20.14+dfsg-2+deb11u2     CVE ID         : CVE-2024-52301     Debian Bug     : 1088189

    It was discovered that there was a remotely exploitable vulnerability     in php-laravel-framework, a popular web application framework written     in PHP.

    When the register_argc_argv php directive was set to on and users     called a URL with a specially-crafted query string, they were able to     change the environment used by the framework when handling the     request.

    Laravel now ignores argv values for environment detection on non-CLI     APIs.

    For Debian 11 bullseye, this problem has been fixed in version     6.20.14+dfsg-2+deb11u2.

    We recommend that you upgrade your php-laravel-framework packages.

    For the detailed security status of php-laravel-framework please refer to     its security tracker page at:
    https://security-tracker.debian.org/tracker/php-laravel-framework

    Further information about Debian LTS security advisories, how to apply     these updates to your system and frequently asked questions can be     found at: https://wiki.debian.org/LTS

Tenable has extracted the preceding description block directly from the Debian security advisory.

Note that Nessus has not tested for this issue but has instead relied only on the application's self-reported version number.

The Linux/Unix host has one or more packages installed that are impacted by a vulnerability without a vendor supplied patch available.

  - Laravel is a web application framework. When the register_argc_argv php directive is set to on , and users     call any URL with a special crafted query string, they are able to change the environment used by the     framework when handling the request. The vulnerability fixed in 6.20.45, 7.30.7, 8.83.28, 9.52.17,     10.48.23, and 11.31.0. The framework now ignores argv values for environment detection on non-cli SAPIs.
    (CVE-2024-52301)

Note that Nessus relies on the presence of the package as reported by the vendor.

ID	Name	Product	Family	Published	Updated	Severity
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不適切な入力処理	Web App Scanning	Component Vulnerability	11/7/2024	11/20/2024	high
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不當輸入處理	Web App Scanning	Component Vulnerability	11/7/2024	11/20/2024	high
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 不当输入处理	Web App Scanning	Component Vulnerability	11/7/2024	11/20/2024	high
114497	Symfony < 5.4.46 / 6.x < 6.4.14 / 7.x < 7.1.7 Improper Input Handling	Web App Scanning	Component Vulnerability	11/7/2024	11/20/2024	high
231769	Linux Distros のパッチ未適用の脆弱性: CVE-2024-52301	Nessus	Misc.	3/6/2025	8/18/2025	medium
213314	Debian dla-3997 : php-illuminate-auth - セキュリティ更新	Nessus	Debian Local Security Checks	12/21/2024	8/26/2025	high
213314	Debian dla-3997：php-illuminate-auth - 安全更新	Nessus	Debian Local Security Checks	12/21/2024	8/26/2025	high
231769	Linux Distros 未修补的漏洞：CVE-2024-52301	Nessus	Misc.	3/6/2025	8/18/2025	medium
213314	Debian dla-3997：php-illuminate-auth - 安全性更新	Nessus	Debian Local Security Checks	12/21/2024	8/26/2025	high
231769	Linux Distros 未修補的弱點：CVE-2024-52301	Nessus	Misc.	3/6/2025	8/18/2025	medium
213314	Debian dla-3997 : php-illuminate-auth - security update	Nessus	Debian Local Security Checks	12/21/2024	8/26/2025	high
231769	Linux Distros Unpatched Vulnerability : CVE-2024-52301	Nessus	Misc.	3/6/2025	8/18/2025	medium

Detections

Analytics

Plugins Search

high

high

high

high

medium

high

high

medium

high

medium

high

medium