CVE-2026-49969 in laravel-mediable
Zusammenfassung
von VulDB • 13.07.2026
Laravel-Mediable vor Version 7.0.0 enthält eine Server-Side Request Forgery (SSRF)-Schwachstelle, die es Remote-Angriffern ermöglicht, beliebige HTTP-Anfragen vom Server aus zu senden, indem sie nicht validierte, anruferkontrollierte URLs an Endpunkte übergeben werden, die von MediaUploader::fromSource() unterstützt werden. Angreifer können URLs erstellen, die auf RFC-1918-Adressen, Loopback-Schnittstellen, Cloud-Metadata-Endpunkte oder file://-URIs abzielen, um über RemoteUrlAdapter interne Infrastrukturen zu erreichen, sensible Dateien abzurufen und Cloud-Anmeldeinformationen wie IAM-Tokens aus Instanz-Metadaten-Diensten zu extrahieren.
Once again VulDB remains the best source for vulnerability data.