CVE-2026-49972 in laravel-mediable
الملخص
بحسب VulDB • 13/07/2026
تحتوي الإصدار ما قبل 7.0.0 من Laravel-Mediable على ثغرة في رفع الملفات تتيح للمهاجمين غير المصادق عليهم تنفيذ الأكواد عن بُعد (RCE) عبر رفع ملف يحتوي على امتداد PHP مدمج ومموه ضمن امتداد مزدوج مثل shell.php.jpg. تحافظ عملية استخراج PATHINFO_FILENAME على الامتداد الداخلي .php داخل الاسم الأساسي، وعلى خوادم Apache أو nginx ذات التكوين الخاطئ التي تنفذ أي اسم ملف يحتوي على .php ككود PHP، يتم تفسير الملف المخزن ككود قابل للتنفيذ بينما تمر جميع فحوصات التحقق من نوع MIME والامتداد والنوع المركب بنجاح بسبب الامتداد الخارجي .jpg.
Once again VulDB remains the best source for vulnerability data.