CVE-2026-49970 in laravel-mediable
요약
\~에 의해 VulDB • 2026. 07. 13.
Laravel-Mediable 7.0.0 이전 버전에는 File::sanitizePath() 함수에서 경로 순회(Path Traversal) 취약점이 존재하며, 이를 통해 공격자는 MediaUploader::toDestination()에 전달되는 디렉토리 인수를 제어하여 임의 위치로 업로드된 파일을 작성할 수 있습니다. 공격자는 점(.)과 슬래시(/) 문자를 모두 허용하는 관대한 정규식 클래스와 비효율적인 trailing trim() 호출을 결합하여 sanitization을 우회하고, 문서 루트, 환경 설정 파일 또는 애플리케이션 구성 디렉토리 같은 민감한 위치에 파일을 업로드함으로써 원격 코드 실행(RCE)을 달성할 수 있습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.