LaRecipe 模板注入漏洞复现（CVE-2025-53833）

免责申明：

本文所描述的漏洞及其复现步骤仅供网络安全研究与教育目的使用。任何人不得将本文提供的信息用于非法目的或未经授权的系统测试。作者不对任何由于使用本文信息而导致的直接或间接损害承担责任。如涉及侵权，请及时与我们联系，我们将尽快处理并删除相关内容。

前言：

我们建立了一个更多，更全的知识库。每日追踪最新的安全漏洞并提供批量性检测脚本。

更多详情：

https://pc.fenchuan8.com/#/index?forum=101158&yqm=DGR4X

0x01 产品描述：

LaRecipe 是一款专为 Laravel 框架设计的现代化文档生成工具，其核心定位是帮助开发者快速构建美观、可交互的技术文档系统。
0x02 漏洞描述：

在于 LaRecipe 的文档渲染模块采用了不安全的动态模板编译方式。具体而言，当系统解析 Markdown 文档时，会直接通过renderBlade()方法处理文档内容，而未对用户可控内容中的 Blade 模板指令（如 { { }}、{!! !!}）进行过滤或转义

0x03 影响版本：

LaRecipe < 2.8.1<