CVE-2017-16894
CVE-2017-16894
Vexday Risk Score
82Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
Madurez del exploit
Exploit funcional
Exploit automatizable disponible (Nuclei/Metasploit).
CVSS —EPSS 87.0%KEV nãoPoC públicaNuclei simMetasploit simPatch —
Ciclo de vida
20 nov 2017Publicada en NVD
07 ago 2018Exploit Metasploit disponible
16 jul 2019PoC pública
Velocidad de armamento
603 díashasta el primer PoC
260 díashasta el módulo Metasploit
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
In Laravel framework through 5.5.21, remote attackers can obtain sensitive information (such as externally usable passwords) via a direct request for the /.env URI. NOTE: this CVE is only about Laravel framework's writeNewEnvironmentFileWith function in src/Illuminate/Foundation/Console/KeyGenerateCommand.php, which uses file_put_contents without restricting the .env permissions. The .env filename is not used exclusively by Laravel framework.
Productos afectados
n/a · n/aPoCs públicas encontradas — 3
cve_referencepacketstormsecurity.com/files/153641/PHP-Laravel-Framework-Token-Unserialize-Remote-Command-Execution.htmlno verificadoexploitdbwww.exploit-db.com/exploits/47129no verificadovulncheckvulncheck.com/xdb/901b2c8abfc9no verificado⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.