名根食品股份有限公司網站目錄瀏覽啟用及敏感資訊洩漏漏洞

Vulnerability Overview

ZDID: ZD-2026-00497
發信 Vendor: 名根食品股份有限公司
Title: 名根食品股份有限公司網站目錄瀏覽啟用及敏感資訊洩漏漏洞
Introduction: 網站之 Laravel 應用程式根目錄暴露於公開網路，導致 `.env` 環境設定檔、資料庫完整備份、系統日誌、路由設定及 API 文件等大量敏感資訊可被任意瀏覽與下載

處理狀態

目前狀態

公開

Last Update : 2026/06/03

新提交
已審核
已通報
未回報修補狀況
未複測
公開

處理歷程

2026/04/03 14:33:44 : 新提交 (由 Ianon 更新此狀態)
2026/04/03 14:34:18 : 新提交 (由 Ianon 更新此狀態)
2026/04/07 22:46:04 : 審核完成 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 18:37:32 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/04/09 18:37:32 : 通報未回應 (由 HITCON ZeroDay 服務團隊更新此狀態)
2026/06/03 03:00:07 : 公開 (由 HITCON ZeroDay 平台自動更新)

詳細資料

ZDID：ZD-2026-00497
通報者：Ianon (Ianon)
風險：高
類型：資訊洩漏 (Information Leakage)

參考資料

攻擊者可利用洩漏資訊進行下一步攻擊行為。

OWASP 漏洞說明 (Top 10 2017 - A3 Sensitive Data Exposure)
https://www.owasp.org/index.php/Top_10-2017_A3-Sensitive_Data_Exposure

CWE-200 漏洞說明
https://cwe.mitre.org/data/definitions/200.html

(本欄位資訊由系統根據漏洞類別自動產生，做為漏洞參考資料。)

敘述

漏洞描述

目標網站 https://mincoln.com.tw/2024mincoln/ 為一套基於 Laravel 框架的電子商務系統（名根烤肉網），其 Web Server 啟用了目錄瀏覽功能（Directory Listing），且應用程式根目錄直接被設定為 Web 可存取路徑，而非僅暴露 public/ 子目錄。
此錯誤配置導致攻擊者可直接瀏覽整個 Laravel 專案結構，包含但不限於：

.env 環境設定檔（含資料庫、SMTP、JWT 等憑證）
完整資料庫 SQL 備份檔（3.3MB）
系統執行日誌（15+ 個檔案，最大 1.5MB）
路由定義、組態設定、第三方套件目錄
管理後台使用手冊與 API 文件
此外，APP_DEBUG=true 於生產環境中啟用，進一步放大資訊洩漏風險。
重現步驟

1. 瀏覽應用程式根目錄
開啟瀏覽器造訪 https://mincoln.com.tw/2024mincoln/
可直接看到完整的目錄列表，包含所有檔案與子目錄
預期：應返回 403 Forbidden 或導向應用程式首頁
實際：返回完整的 Apache/Nginx 目錄索引頁面
2. 讀取 .env 環境設定檔
造訪 https://mincoln.com.tw/2024mincoln/.env

可完整讀取以下敏感資訊：

APP_NAME=mincoln
APP_ENV=production
APP_KEY=base64:BlQYTmcfZGV4XShvK5Z+ffNVWv0qszkUTRuEGmQ76lw=
APP_DEBUG=true
APP_VERSION=1.7
APP_URL=https://www.mincoln.com.tw
JWT_SECRET=zDg3RLGdt0xOR1Kqhjw3iFiVLv5npnxFfb26dBWa4DcL4ByH6qH6DseVMf9l3Vcy
DB_CONNECTION=mysql
DB_HOST=localhost
DB_PORT=3306
DB_DATABASE=mincoln_main
DB_USERNAME=mincoln_tim
DB_PASSWORD="v,YOe!JLdh];"
MAIL_HOST=mail.ivlc.com.tw
MAIL_PORT=587
[email protected]
MAIL_PASSWORD=Mail@1848
ADMIN_ROUTE_PREFIX="min-admin"

3. 下載完整資料庫備份

造訪 https://mincoln.com.tw/2024mincoln/database/2024mincoln.sql
可下載 3.3MB 的完整 SQL 資料庫匯出檔，包含所有使用者資料、產品資訊、訂單記錄等
4. 讀取系統日誌
造訪 https://mincoln.com.tw/2024mincoln/storage/logs/
可瀏覽並下載 15+ 個日誌檔案（2025-02 至 2026-03），包含錯誤堆疊、內部檔案路徑、使用者操作記錄等
5. 其他發現
routes/ 目錄暴露 web.php、api.php 等路由定義檔
config/ 目錄暴露 database.php、mail.php、admin.php 等組態檔
ADMIN_GUIDE.md 揭露管理後台路徑為 /min-admin（Dcat Admin）
API_DOCUMENTATION.md 提供完整 API 呼叫文件，含所有可用端點與參數格式
composer.lock 暴露所有第三方套件的精確版本號

vendor/ 目錄可被瀏覽，暴露第三方套件原始碼

已洩漏之敏感資訊 / 漏洞利用結果

項目	內容	風險說明
資料庫帳號密碼	`mincoln_tim` / `v,YOe!JLdh];`	可直接連線至 MySQL 資料庫 `mincoln_main`，讀取/修改/刪除所有資料
SMTP 憑證	`[email protected]` / `Mail@1848`	可冒用此信箱發送釣魚郵件或垃圾郵件
APP_KEY	`base64:BlQYTmcfZGV4XShvK5Z+ffNVWv0qszkUTRuEGmQ76lw=`	可用於加密/解密 Laravel Session 與 CSRF Token，可能導致 Session 偽造
JWT_SECRET	`zDg3RLGdt0xOR1Kqhjw3iFiVLv5npnxFfb26dBWa4DcL4ByH6qH6DseVMf9l3Vcy`	可偽造任意 JWT Token，可能繞過 API 身份驗證
完整資料庫備份	`2024mincoln.sql` (3.3MB)	含所有使用者個資、產品資料、訂單記錄等敏感資料
管理後台路徑	`/min-admin` (Dcat Admin)	配合洩漏之資料庫憑證，可嘗試重置管理員密碼或建立新帳號
API 文件	完整 API 端點與參數說明	攻擊者可精準呼叫 API 進行資料竊取或注入攻擊
系統日誌	15+ 個日誌檔（最大 1.5MB）	含內部檔案路徑、錯誤堆疊、使用者操作軌跡
APP_DEBUG=true	生產環境啟用除錯模式	錯誤頁面將暴露完整堆疊追蹤與程式碼片段
第三方套件版本	`composer.lock` 含精確版本號	可針對已知漏洞的套件版本進行精準攻擊