Laravel .env 配置文件泄露 CVE-2017-16894¶

漏洞描述¶

Laravel Framework是Taylor Otwell软件开发者开发的一款基于PHP的Web应用程序开发框架。 Laravel framework 5.5.21及之前的版本中存在 .env 文件可被下载的信息泄露漏洞。远程攻击者可利用该漏洞获取敏感信息

漏洞影响¶

Laravel framework <= 5.5.21

网络测绘¶

app="Laravel-Framework"

漏洞复现¶

当配置不当且在影响范围内时会出现 .env可被下载的情况，导致数据库账号密码等敏感信息的泄露