CVE-2026-49972 in laravel-mediableinfo

Zusammenfassung

von VulDB • 13.07.2026

Laravel-Mediable vor Version 7.0.0 enthält eine Datei-Upload-Schwachstelle (File Upload Vulnerability), die es nicht authentifizierten Angreifern ermöglicht, Remote Code Execution zu erreichen, indem sie eine Datei mit einer eingebetteten PHP-Erweiterung hochladen, die in einer doppelten Erweiterung wie shell.php.jpg getarnt ist. Die Extraktion von PATHINFO_FILENAME behält die innere .php-Erweiterung im Basisnamen bei, und auf falsch konfigurierten Apache- oder nginx-Servern, die jeden Dateinamen mit .php als PHP ausführen, wird die gespeicherte Datei als ausführbarer Code interpretiert, während alle MIME-Typ-, Erweiterungs- und Aggregattyp-Validierungsprüfungen aufgrund der äußeren .jpg-Erweiterung bestanden werden.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

02.06.2026

Veröffentlichung

13.07.2026

Moderieren

akzeptiert

Eintrag

VDB-378143

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Interested in the pricing of exploits?

See the underground prices here!