← volver
CVE-2017-16894

CVE-2017-16894

EPSS 87.0%◆ VulnCheck KEV
Vexday Risk Score
82Corregir ahora
Decisión SSVC (CISA)
Act
Explotación + impacto → acción inmediata
Madurez del exploit
Exploit funcional
Exploit automatizable disponible (Nuclei/Metasploit).
CVSS EPSS 87.0%KEV nãoPoC públicaNuclei simMetasploit simPatch
Ciclo de vida
20 nov 2017Publicada en NVD
07 ago 2018Exploit Metasploit disponible
16 jul 2019PoC pública
Velocidad de armamento
603 díashasta el primer PoC
260 díashasta el módulo Metasploit
Recomendación: Corregir cuanto antes — hay explotación activa confirmada.
In Laravel framework through 5.5.21, remote attackers can obtain sensitive information (such as externally usable passwords) via a direct request for the /.env URI. NOTE: this CVE is only about Laravel framework's writeNewEnvironmentFileWith function in src/Illuminate/Foundation/Console/KeyGenerateCommand.php, which uses file_put_contents without restricting the .env permissions. The .env filename is not used exclusively by Laravel framework.
Productos afectados
n/a · n/a
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.