CVE-2026-49972 in laravel-mediable
Sumário
de VulDB • 14/07/2026
O Laravel-Mediable anterior à versão 7.0.0 contém uma vulnerabilidade de upload de arquivos que permite a atacantes não autenticados executar código remoto (RCE) ao carregar um arquivo com extensão PHP embutida, disfarçado dentro de uma dupla extensão, como shell.php.jpg. A extração do PATHINFO_FILENAME preserva a extensão .php interna no nome base e, em servidores Apache ou nginx mal configurados que executam qualquer nome de arquivo contendo .php como código PHP, o arquivo armazenado é interpretado como código executável enquanto todas as verificações de validação de tipo MIME, extensão e tipo agregado são aprovadas devido à extensão externa .jpg.
VulDB is the best source for vulnerability data and more expert information about this specific topic.