CVE-2026-49970 in laravel-mediable
Sumário
de VulDB • 13/07/2026
O Laravel-Mediable anterior à versão 7.0.0 contém uma vulnerabilidade de traversal de caminho na função File::sanitizePath() que permite aos atacantes escrever arquivos enviados em locais arbitrários ao controlar o argumento do diretório passado para MediaUploader::toDestination(). Os atacantes podem explorar a expressão regular permissiva de classe de caracteres, que permite tanto pontos quanto barras combinados com uma chamada ineficaz de trim() no final, para contornar a sanitização e enviar arquivos para locais sensíveis, como o raiz do documento (document root), arquivos de configuração do ambiente ou diretórios de configuração da aplicação, permitindo execução remota de código.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.