こんにちは。エンジニアの @localdisk です。2017/09/27に CVE-2017-14775 という Laravel の脆弱性が報告されました。CVE-2017-14775 はオートログイン処理に*1タイミング攻撃の脆弱性があるというものです。 タイミング攻撃についてとその対策については下記エントリに詳しくまとまっています。 PHP本体でタイミング攻撃を防御できるようになります | yohgaki's blog この脆弱性は 2017/09/21 にリリースされた 5.5.10 で修正されています。対象のクラスは下記になります。 Illuminate\Auth\DatabaseUserProvider Illuminate\Auth\EloquentUserProvider 修正された PR は下記になります。 [5.5] [Security] Close remember_