关键漏洞信息 漏洞概述 标题: Mautic does not shield .env files from web traffic 严重性: 中等 (5.1/10) CVE ID: CVE-2024-47056 CVSS v3 基本指标: - 攻击向量: 本地 - 攻击复杂度: 低 - 所需权限: 无 - 用户交互: 无 - 范围: 不变 - 机密性: 低 - 完整性: 无 - 可用性: 低 影响版本与修复版本 受影响版本: > 4.4 已修复版本: 6.0.2, 5.2.6, 4.4.16 描述 摘要: Mautic 存在一个安全漏洞,其中敏感的 .env 配置文件可能直接通过 Web 浏览器访问。这可能导致敏感信息泄露,包括数据库凭据、API 密钥和其他关键系统配置。 详细描述: 由于缺少限制访问此类文件的 Web 服务器配置,.env 文件(通常包含环境变量和敏感应用程序配置)可以直接通过 Web 浏览器访问。未认证的攻击者只需导航到其 URL 即可查看该文件的内容。 缓解措施 更新 Mautic: 更新到最新版本。 默认设置: 默认情况下,Mautic 不使用 .env 文件进行生产数据。 Apache 用户: 确保 Web 服务器配置尊重 .htaccess 文件。 Nginx 用户: 在 Nginx 配置中添加以下内容以拒绝访问 .env 文件: 修改 Nginx 配置后,记得重新加载或重启 Nginx 服务以使更改生效。