PT-2026-57850 · Unknown · Laravel-Mediable
Vulncheck
+1
·
Publicado
2026-07-13
·
Atualizado
2026-07-13
·
CVE-2026-49972
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Laravel-Mediable versões anteriores a 7.0.0
Description
Existe um problema onde invasores não autenticados podem alcançar a execução remota de código ao fazer o upload de arquivos com extensões duplas, como
shell.php.jpg. A extração PATHINFO FILENAME preserva a extensão .php interna no nome base. Em servidores Apache ou nginx mal configurados que executam qualquer nome de arquivo contendo .php como PHP, o arquivo armazenado é interpretado como código executável. Isso ocorre porque a extensão externa .jpg permite que o arquivo ignore as verificações de tipo MIME, extensão e tipo agregado.Recommendations
Atualize o Laravel-Mediable para a versão 7.0.0 ou posterior.
Correção
RCE
Unrestricted File Upload
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Laravel-Mediable