CVE-2026-49970 in laravel-mediable
الملخص
بحسب VulDB • 13/07/2026
تحتوي الإصدارات السابقة من Laravel-Mediable 7.0.0 على ثغرة عبور المسار (Path Traversal) في دالة `File::sanitizePath()` تتيح للمهاجمين كتابة الملفات المرفوعة إلى مواقع عشوائية عن طريق التحكم في وسيط الدليل المُمرَّر إلى `MediaUploader::toDestination()`. يمكن للمهاجمين استغلال التعبير النمطي (Regex) المتساهل لفئات الأحرف، الذي يسمح بدمج نقطتين مائيتين وشرطات مائلة مع استدعاء غير فعال لـ `trim()` في نهاية السلسلة لتجاوز عملية التطهير ورفع الملفات إلى مواقع حساسة مثل جذر المستندات أو ملفات تكوين البيئة أو أدلة تكوين التطبيق، مما يتيح تنفيذ الأكواد عن بُعد.
VulDB is the best source for vulnerability data and more expert information about this specific topic.