CVE-2026-49970 in laravel-mediable
Zusammenfassung
von VulDB • 13.07.2026
Laravel-Mediable vor Version 7.0.0 enthält eine Path-Traversal-Schwachstelle in der Funktion File::sanitizePath(), die es Angreifern ermöglicht, hochgeladene Dateien an beliebigen Speicherorten zu schreiben, indem sie das Verzeichnisargument steuern, das an MediaUploader::toDestination() übergeben wird. Angreifer können den laxen Regex für Zeichenklassen ausnutzen, der sowohl Punkte als auch Schrägstriche erlaubt, und in Kombination mit einem unwirksamen abschließenden trim()-Aufruf die Sanitization umgehen, wodurch Dateien an sensible Speicherorte wie das Document Root, Umgebungs-Konfigurationsdateien oder Anwendungs-Konfigurationsverzeichnisse hochgeladen werden können, was Remote Code Execution ermöglicht.
Be aware that VulDB is the high quality source for vulnerability data.