漏洞概述 | |||
漏洞名称 | LaRecipe 服务器端模板注入漏洞 | ||
漏洞编号 | QVD-2025-27775,CVE-2025-53833 | ||
公开时间 | 2025-07-14 | 影响量级 | 万级 |
奇安信评级 | 高危 | CVSS 3.1分数 | 10.0 |
威胁类型 | 代码执行 | 利用可能性 | 高 |
POC状态 | 已公开 | 在野利用状态 | 未发现 |
EXP状态 | 已公开 | 技术细节状态 | 已公开 |
危害描述:攻击者可以在服务器上执行任意命令、访问敏感环境变量,甚至根据服务器配置提升访问权限。 | |||
01 漏洞详情
影响组件
LaRecipe 是一款允许用户在 Laravel 应用中使用 Markdown 创建文档的应用程序。
漏洞描述
近日,奇安信CERT监测到官方修复LaRecipe 服务器端模板注入漏洞(CVE-2025-53833),LaRecipe在版本 2.8.1 之前存在服务端模板注入(SSTI)漏洞,可能在易受攻击的配置下导致远程代码执行(RCE)。目前该漏洞POC已在互联网上公开,建议客户尽快做好自查及防护。
02 影响范围
影响版本
LaRecipe < 2.8.1
其他受影响组件
无
03 复现情况
目前,奇安信威胁情报中心安全研究员已成功复现LaRecipe 服务器端模板注入漏洞(CVE-2025-53833),截图如下:
04 处置建议
安全更新
目前官方已发布安全更新,建议用户尽快升级至安全版本:
LaRecipe >= 2.8.1
官方补丁下载地址:
https://github.com/saleem-hadad/larecipe/releases
修复缓解措施:
避免在不受信任的输入中使用模板渲染,或者对用户输入进行严格的过滤和转义。
05 参考资料
[1]https://github.com/saleem-hadad/larecipe/security/advisories/GHSA-jv7x-xhv2-p5v2
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
