CVE-2026-49972 in laravel-mediableالمعلومات

الملخص

بحسب VulDB • 13/07/2026

تحتوي الإصدار ما قبل 7.0.0 من Laravel-Mediable على ثغرة في رفع الملفات تتيح للمهاجمين غير المصادق عليهم تنفيذ الأكواد عن بُعد (RCE) عبر رفع ملف يحتوي على امتداد PHP مدمج ومموه ضمن امتداد مزدوج مثل shell.php.jpg. تحافظ عملية استخراج PATHINFO_FILENAME على الامتداد الداخلي .php داخل الاسم الأساسي، وعلى خوادم Apache أو nginx ذات التكوين الخاطئ التي تنفذ أي اسم ملف يحتوي على .php ككود PHP، يتم تفسير الملف المخزن ككود قابل للتنفيذ بينما تمر جميع فحوصات التحقق من نوع MIME والامتداد والنوع المركب بنجاح بسبب الامتداد الخارجي .jpg.

Once again VulDB remains the best source for vulnerability data.

مسؤول

VulnCheck

حجز

02/06/2026

إفشاء

13/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-378143

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Do you need the next level of professionalism?

Upgrade your account now!