
Hoje lançamos patches de segurança via Laravel 6.20.26 e 8.40.0. Esses patches resolvem uma vulnerabilidade de segurança que permitia a injeção de SQL quando a entrada não filtrada do usuário era passada diretamente para os métodos limit
e offset
do construtor de consultas Laravel e o usuário também estava usando o Microsoft SQL Server como seu banco de dados.
Outros drivers de banco de dados, como MySQL e Postgres, não parecem ser afetados por esse problema no momento.
Todos os usuários do Laravel são encorajados a atualizar imediatamente ou, se você não puder atualizar para essas versões, certifique-se de que está apenas passando números inteiros para os métodos limit
e offset
.
Esta vulnerabilidade de segurança foi publicada como um comunicado de segurança do GitHub: https://github.com/laravel/framework/security/advisories/GHSA-4mg9-vhxq-vm7j