CVE-2026-4809
KrytyczneStreszczenie
Pakiet plank/laravel-mediable w wersji do 6.4.0 pozwala na przesyłanie niebezpiecznych typów plików, gdy aplikacja akceptuje lub preferuje typ MIME dostarczony przez klienta. To może prowadzić do przesyłania plików zawierających wykonawczy kod PHP, co skutkuje możliwością zdalnego wykonania kodu.
Ocena ryzyka
Zagrożenie dla organizacji polega na możliwości zdalnego wykonania kodu, co może prowadzić do kompromitacji systemów i danych. W przypadku przechowywania przesłanych plików w lokalizacji dostępnej przez sieć, ryzyko wzrasta.
Rekomendacja
Zaleca się unikanie akceptacji typów MIME dostarczonych przez klienta oraz monitorowanie i ograniczanie możliwości przesyłania plików. Należy również śledzić dostępność poprawek od dostawcy.
Oryginalny opis (angielski, źródło NVD)
plank/laravel-mediable through version 6.4.0 can allow upload of a dangerous file type when an application using the package accepts or prefers a client-supplied MIME type during file upload handling. In that configuration, a remote attacker can submit a file containing executable PHP code while declaring a benign image MIME type, resulting in arbitrary file upload. If the uploaded file is stored in a web-accessible and executable location, this may lead to remote code execution. At the time of publication, no patch was available and the vendor had not responded to coordinated disclosure attempts.

