CVE-2024-21546
CriticalSummary
Wersje pakietu unisharp/laravel-filemanager przed 2.9.1 są podatne na zdalne wykonanie kodu (RCE) poprzez użycie prawidłowego typu MIME i dodanie znaku . po rozszerzeniu pliku php. Umożliwia to atakującemu wykonanie złośliwego kodu.
Risk Assessment
Organizacja może być narażona na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem lub wycieku danych. Atakujący może wykorzystać tę podatność do uruchomienia dowolnego kodu na serwerze.
Recommendation
Zaleca się aktualizację pakietu unisharp/laravel-filemanager do wersji 2.9.1 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać dostęp do systemów, które mogą być narażone na ataki.
Original NVD description (English source)
Versions of the package unisharp/laravel-filemanager before 2.9.1 are vulnerable to Remote Code Execution (RCE) through using a valid mimetype and inserting the . character after the php file extension. This allows the attacker to execute malicious code.

