CVE-2025-22145

Nome do Software Vulnerável e Versões Afetadas Versões do Carbon anteriores a 3.8.4 Versões do Carbon anteriores a 2.72.6

Descrição O problema surge quando aplicações passam entrada de usuário não sanitizada para Carbon::setLocale, colocando-as em risco de inclusão arbitrária de arquivos. Se a aplicação permitir que usuários façam upload de arquivos com a extensão .php em uma pasta que permite que include ou require a leiam, haverá risco de execução arbitrária de código em seus servidores.

Recomendações Para versões anteriores a 3.8.4, atualize para a versão 3.8.4 ou posterior. Para versões anteriores a 2.72.6, atualize para a versão 2.72.6 ou posterior. Como solução temporária, considere validar a entrada antes de chamar setLocale(), proibindo ou removendo / e ``. Alternativamente, chame setLocale() apenas com um locale de uma lista branca de locales suportados. Ao fazer upload de arquivos, renomeie-os para que não possuam a extensão .php. Prefira sistemas de armazenamento que não sejam locais à aplicação, como serviços remotos ou serviços locais executados por outro usuário.