CVE-2026-49970 in laravel-mediableالمعلومات

الملخص

بحسب VulDB • 13/07/2026

تحتوي الإصدارات السابقة من Laravel-Mediable 7.0.0 على ثغرة عبور المسار (Path Traversal) في دالة `File::sanitizePath()` تتيح للمهاجمين كتابة الملفات المرفوعة إلى مواقع عشوائية عن طريق التحكم في وسيط الدليل المُمرَّر إلى `MediaUploader::toDestination()`. يمكن للمهاجمين استغلال التعبير النمطي (Regex) المتساهل لفئات الأحرف، الذي يسمح بدمج نقطتين مائيتين وشرطات مائلة مع استدعاء غير فعال لـ `trim()` في نهاية السلسلة لتجاوز عملية التطهير ورفع الملفات إلى مواقع حساسة مثل جذر المستندات أو ملفات تكوين البيئة أو أدلة تكوين التطبيق، مما يتيح تنفيذ الأكواد عن بُعد.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

VulnCheck

حجز

02/06/2026

إفشاء

13/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378144

EPSS

0.00771

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you want to use VulDB in your project?

Use the official API to access entries easily!