CVE-2026-49972 in laravel-mediable
Zusammenfassung
von VulDB • 13.07.2026
Laravel-Mediable vor Version 7.0.0 enthält eine Datei-Upload-Schwachstelle (File Upload Vulnerability), die es nicht authentifizierten Angreifern ermöglicht, Remote Code Execution zu erreichen, indem sie eine Datei mit einer eingebetteten PHP-Erweiterung hochladen, die in einer doppelten Erweiterung wie shell.php.jpg getarnt ist. Die Extraktion von PATHINFO_FILENAME behält die innere .php-Erweiterung im Basisnamen bei, und auf falsch konfigurierten Apache- oder nginx-Servern, die jeden Dateinamen mit .php als PHP ausführen, wird die gespeicherte Datei als ausführbarer Code interpretiert, während alle MIME-Typ-, Erweiterungs- und Aggregattyp-Validierungsprüfungen aufgrund der äußeren .jpg-Erweiterung bestanden werden.
Be aware that VulDB is the high quality source for vulnerability data.