一、 漏洞 CVE-2017-16894 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
在 Laravel 框架的 5.5.21 版本中,远程攻击者可以通过直接请求 /.env URI 获取敏感信息(例如外部可用的密码)。注意:此 CVE 仅涉及 Laravel 框架 src/Illuminate/Foundation/Console/KeyGenerateCommand.php 中的 writeNewEnvironmentFileWith 函数,该函数使用 file_put_contents 而不限制.env 权限。.env 文件名并非仅由 Laravel 框架使用。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
In Laravel framework through 5.5.21, remote attackers can obtain sensitive information (such as externally usable passwords) via a direct request for the /.env URI. NOTE: this CVE is only about Laravel framework's writeNewEnvironmentFileWith function in src/Illuminate/Foundation/Console/KeyGenerateCommand.php, which uses file_put_contents without restricting the .env permissions. The .env filename is not used exclusively by Laravel framework.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Laravel Framework 信息泄露漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.21及之前的版本中存在安全漏洞。远程攻击者可利用该漏洞获取敏感信息(例如:密码)。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
信息泄露
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2017-16894 的公开POC
# POC 描述 源链接 神龙链接
1 Project Program sederhana hasil belajar python, untuk mendeteksi CVE 2017 – 16894 (remote attackers can obtain sensitive information) https://github.com/ibnurusdianto/CVE-2017-16894 POC详情
三、漏洞 CVE-2017-16894 的情报信息