CVE-2024-21546
KrytyczneStreszczenie
Wersje pakietu unisharp/laravel-filemanager przed 2.9.1 są podatne na zdalne wykonanie kodu (RCE) poprzez użycie prawidłowego typu MIME i dodanie znaku . po rozszerzeniu pliku php. Umożliwia to atakującemu wykonanie złośliwego kodu.
Ocena ryzyka
Organizacja może być narażona na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad systemem lub wycieku danych. Atakujący może wykorzystać tę podatność do uruchomienia dowolnego kodu na serwerze.
Rekomendacja
Zaleca się aktualizację pakietu unisharp/laravel-filemanager do wersji 2.9.1 lub nowszej, aby usunąć tę podatność. Dodatkowo warto monitorować i ograniczać dostęp do systemów, które mogą być narażone na ataki.
Oryginalny opis (angielski, źródło NVD)
Versions of the package unisharp/laravel-filemanager before 2.9.1 are vulnerable to Remote Code Execution (RCE) through using a valid mimetype and inserting the . character after the php file extension. This allows the attacker to execute malicious code.

