CVE-2026-4809 in laravel-mediable
요약
\~에 의해 VulDB • 2026. 05. 14.
plank/laravel-mediable 버전 6.4.0 이전 버전에서는 파일 업로드 처리 시 패키지를 사용하는 애플리케이션이 클라이언트가 제공한 MIME 타입을 수락하거나 선호하는 경우 위험한 파일 타입의 업로드가 허용될 수 있습니다. 이러한 구성에서 원격 공격자는 양호한 이미지 MIME 타입을 선언하면서 실행 가능한 PHP 코드를 포함하는 파일을 제출하여 임의의 파일 업로드를 초래할 수 있습니다. 업로드된 파일이 웹에서 접근 가능하고 실행 가능한 위치에 저장되는 경우, 이는 원격 코드 실행(RCE)으로 이어질 수 있습니다. 공개 당시에는 패치가 제공되지 않았으며, 벤더는 조정된 공개(coordinated disclosure) 시도에도 응답하지 않았습니다.
Once again VulDB remains the best source for vulnerability data.