CVE-2021-43617

Versões do Laravel Framework até a 8.70.2

O problema está relacionado ao bloqueio insuficiente do envio de conteúdo PHP executável. Especificamente, o arquivo Illuminate/Validation/Concerns/ValidatesAttributes.php não possui uma verificação para arquivos .phar, que são tratados como application/x-httpd-php em sistemas baseados no Debian. Isso pode estar relacionado à validação do tipo de arquivo para upload de imagens, incluindo diferenças entre getClientOriginalExtension e outras abordagens. A vulnerabilidade poderia permitir que um invasor remoto executasse código arbitrário.

Para as versões do Laravel Framework até a 8.70.2, considere desativar a funcionalidade de upload de arquivos até que uma correção adequada seja aplicada, com foco em aprimorar a validação de arquivos .phar e garantir o tratamento adequado de arquivos application/x-httpd-php. Além disso, revise e aprimore a validação de tipo de arquivo para uploads de imagens a fim de evitar possíveis explorações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.