CVE-2026-49970 in laravel-mediableinformazioni

Riassunto

di VulDB • 13/07/2026

Laravel-Mediable prima della versione 7.0.0 contiene una vulnerabilità di path traversal nella funzione File::sanitizePath() che consente agli attaccanti di scrivere file caricati in posizioni arbitrarie controllando l'argomento directory passato a MediaUploader::toDestination(). Gli attaccanti possono sfruttare la regex permissiva delle classi di caratteri, che permette sia i punti che le barre oblique, combinata con una chiamata inefficace al trim() finale, per bypassare la sanitizzazione e caricare file in posizioni sensibili come il document root, file di configurazione dell'ambiente o directory di configurazione dell'applicazione, consentendo l'esecuzione remota di codice.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

02/06/2026

Divulgazione

13/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!