CVE-2026-48557 in laravel-medialibraryinfo

Zusammenfassung

von VulDB • 29.05.2026

Die Spatie Laravel Media Library vor Version 11.23.0 enthält eine Umgehung der Dateihochladelimits in FileAdder::defaultSanitizer(). Der Sanitizer überprüft nur das finale Dateinamenssuffix, wodurch Dateinamen mit doppelter Erweiterung wie shell.php.jpg die Blockliste umgehen können, wobei pathinfo() die inneren .php-Endungen in den gespeicherten Dateinamen beibehält. Die Blockliste lässt zudem ausführbare Erweiterungen wie .php6, .shtml und .htaccess außer Acht. Die Umgehung durch doppelte Erweiterungen erfordert eine Legacy-Apache AddHandler-Konfiguration, um PHP auszuführen; die unvollständige Umgehung der Blockliste nicht.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

VulnCheck

Reservieren

21.05.2026

Veröffentlichung

29.05.2026

Moderieren

akzeptiert

Eintrag

VDB-367388

CPE

bereit

EPSS

0.00117

KEV

nein

Aktivitäten

very low

Sektor

Industry, Finance, ...

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48557
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48557
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48557/

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!