CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48557

High
Published: Translated: NVD NIST

Summary

Spatie Laravel Media Library przed wersją 11.23.0 zawiera lukę umożliwiającą obejście ograniczeń przesyłania plików w metodzie FileAdder::defaultSanitizer(). Sanitizer sprawdza jedynie końcówkę nazwy pliku, co pozwala na obejście blokady przez pliki z podwójną rozszerzeniem, takie jak shell.php.jpg.

Risk Assessment

Organizacja może być narażona na wykonanie złośliwego kodu PHP, jeśli pliki z podwójnymi rozszerzeniami zostaną przesłane i uruchomione na serwerze. Dodatkowo, brak pełnej blokady rozszerzeń wykonawczych zwiększa ryzyko.

Recommendation

Zaleca się aktualizację do wersji 11.23.0 lub nowszej, aby usunąć tę podatność. Należy również przeglądać i dostosować konfigurację serwera, aby zminimalizować ryzyko związane z przesyłaniem plików.

Original NVD description (English source)

Spatie Laravel Media Library before version 11.23.0 contains a file upload restriction bypass in FileAdder::defaultSanitizer(). The sanitizer checks only the final filename suffix, allowing double-extension filenames such as shell.php.jpg to bypass the blocklist, with pathinfo() preserving inner .php stems in saved filenames. The blocklist also omits executable extensions including .php6, .shtml, and .htaccess. The double-extension bypass requires a legacy Apache AddHandler configuration to achieve PHP execution; the incomplete blocklist bypass does not.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS