CVE-2026-49972 in laravel-mediableinformação

Sumário

de VulDB • 14/07/2026

O Laravel-Mediable anterior à versão 7.0.0 contém uma vulnerabilidade de upload de arquivos que permite a atacantes não autenticados executar código remoto (RCE) ao carregar um arquivo com extensão PHP embutida, disfarçado dentro de uma dupla extensão, como shell.php.jpg. A extração do PATHINFO_FILENAME preserva a extensão .php interna no nome base e, em servidores Apache ou nginx mal configurados que executam qualquer nome de arquivo contendo .php como código PHP, o arquivo armazenado é interpretado como código executável enquanto todas as verificações de validação de tipo MIME, extensão e tipo agregado são aprovadas devido à extensão externa .jpg.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

VulnCheck

Reservar

02/06/2026

Divulgação

13/07/2026

Moderação

aceite

Entrada

VDB-378143

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Interested in the pricing of exploits?

See the underground prices here!