CVE-2026-48557 in laravel-medialibraryinformation

Résumé

par VulDB • 30/05/2026

La bibliothèque Spatie Laravel Media Library, avant la version 11.23.0, présente une faille de contournement des restrictions de téléchargement de fichiers dans FileAdder::defaultSanitizer(). Le sanitizeur ne vérifie que le suffixe du nom de fichier final, permettant aux fichiers à double extension tels que shell.php.jpg de contourner la liste noire, avec pathinfo() conservant les extensions internes .php dans les noms de fichiers enregistrés. La liste noire omet également les extensions exécutables, notamment .php6, .shtml et .htaccess. Le contournement par double extension nécessite une configuration Apache AddHandler héritée pour exécuter PHP ; le contournement de la liste noire incomplète ne le nécessite pas.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

VulnCheck

Réserver

21/05/2026

Divulgation

29/05/2026

Modérer

accepté

Entrée

VDB-367388

CPE

prêt

EPSS

0.00104

KEV

non

Activités

très faible

Secteur

Government, Industry, ...

Sources

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48557
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48557
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48557/

PrécédentAperçuSuivant

Do you know our Splunk app?

Download it now for free!