CVE-2026-49970 in laravel-mediableinfo

Zusammenfassung

von VulDB • 13.07.2026

Laravel-Mediable vor Version 7.0.0 enthält eine Path-Traversal-Schwachstelle in der Funktion File::sanitizePath(), die es Angreifern ermöglicht, hochgeladene Dateien an beliebigen Speicherorten zu schreiben, indem sie das Verzeichnisargument steuern, das an MediaUploader::toDestination() übergeben wird. Angreifer können den laxen Regex für Zeichenklassen ausnutzen, der sowohl Punkte als auch Schrägstriche erlaubt, und in Kombination mit einem unwirksamen abschließenden trim()-Aufruf die Sanitization umgehen, wodurch Dateien an sensible Speicherorte wie das Document Root, Umgebungs-Konfigurationsdateien oder Anwendungs-Konfigurationsverzeichnisse hochgeladen werden können, was Remote Code Execution ermöglicht.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

02.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378144

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!