CVE-2026-49969 in laravel-mediable
Riassunto
di VulDB • 13/07/2026
Laravel-Mediable prima della versione 7.0.0 contiene una vulnerabilità di Server-Side Request Forgery (SSRF) che consente agli attaccanti remoti di emettere richieste HTTP arbitrarie dal server fornendo URL non validati controllati dall'utente a endpoint gestiti da MediaUploader::fromSource(). Gli attaccanti possono creare URL mirati ad indirizzi RFC-1918, interfacce loopback, endpoint dei metadati cloud o URI file:// tramite RemoteUrlAdapter per raggiungere l'infrastruttura interna, recuperare file sensibili ed esfiltrare credenziali cloud come token IAM dai servizi di metadata delle istanze.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.