CVE-2026-49972 in laravel-mediableinformazioni

Riassunto

di VulDB • 13/07/2026

Laravel-Mediable prima della versione 7.0.0 presenta una vulnerabilità di caricamento file che consente agli attaccanti non autenticati di ottenere l'esecuzione remota di codice (RCE) caricando un file con estensione PHP incorporata, nascosta all'interno di una doppia estensione come shell.php.jpg. L'estrazione del PATHINFO_FILENAME preserva la parte interna .php nel nome base e, sui server Apache o nginx mal configurati che eseguono qualsiasi filename contenente .php come codice PHP, il file memorizzato viene interpretato come codice eseguibile mentre tutti i controlli di validazione dei tipi MIME, delle estensioni e dei tipi aggregati superano l'analisi grazie alla presenza dell'estensione esterna .jpg.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

02/06/2026

Divulgazione

13/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!