CVE-2026-49972 in laravel-mediable
Riassunto
di VulDB • 13/07/2026
Laravel-Mediable prima della versione 7.0.0 presenta una vulnerabilità di caricamento file che consente agli attaccanti non autenticati di ottenere l'esecuzione remota di codice (RCE) caricando un file con estensione PHP incorporata, nascosta all'interno di una doppia estensione come shell.php.jpg. L'estrazione del PATHINFO_FILENAME preserva la parte interna .php nel nome base e, sui server Apache o nginx mal configurati che eseguono qualsiasi filename contenente .php come codice PHP, il file memorizzato viene interpretato come codice eseguibile mentre tutti i controlli di validazione dei tipi MIME, delle estensioni e dei tipi aggregati superano l'analisi grazie alla presenza dell'estensione esterna .jpg.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.