CVE-2026-49972 in laravel-mediable정보

요약

\~에 의해 VulDB • 2026. 07. 13.

7.0.0 미만의 Laravel-Mediable에는 파일 업로드 취약점이 포함되어 있으며, 공격자는 shell.php.jpg와 같은 이중 확장자를 사용하여 PHP 확장이 숨겨진 파일을 업로드함으로써 인증 없이 원격 코드 실행(RCE)을 달성할 수 있습니다. PATHINFO_FILENAME 추출은 기본 이름에서 내부 .php 확장자를 유지하며, .php가 포함된 모든 파일명을 PHP로 실행하도록 잘못 구성된 Apache 또는 nginx 서버에서는 저장된 파일이 실행 가능한 코드로 해석됩니다. 이때 외부 .jpg 확장자로 인해 MIME 유형, 확장자 및 집계 유형 검증 체크는 모두 통과합니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

VulnCheck

예약하다

2026. 06. 02.

모더레이션

수락

항목

VDB-378143

EPSS

0.00000

활동

낮음

출처

Might our Artificial Intelligence support you?

Check our Alexa App!