CVE-2026-49972 in laravel-mediablethông tin

Tóm tắt

Bởi VulDB • 13/07/2026

Laravel-Mediable trước phiên bản 7.0.0 chứa một lỗ hổng tải lên tệp tin cho phép các kẻ tấn công chưa xác thực đạt được việc thực thi mã từ xa (RCE) bằng cách tải lên một tệp có phần mở rộng PHP nhúng, bị ngụy trang dưới dạng hai phần mở rộng như shell.php.jpg. Việc trích xuất PATHINFO_FILENAME giữ lại phần mở rộng .php bên trong ở tên cơ sở, và trên các máy chủ Apache hoặc nginx được cấu hình sai lệch để thực thi bất kỳ tên tệp nào chứa .php như mã PHP, tệp đã lưu sẽ được diễn giải là mã có thể thực thi trong khi tất cả các kiểm tra xác thực loại MIME, phần mở rộng và loại tổng hợp đều vượt qua do phần mở rộng .jpg ở bên ngoài.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

02/06/2026

Tiết lộ

13/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!