CVE-2026-48500
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Filament, zbiór komponentów do przyspieszonego rozwoju w Laravel, ma podatność, która pozwala na przesyłanie plików przez nieautoryzowanych użytkowników w niektórych formularzach, takich jak formularz logowania. To może prowadzić do nieautoryzowanego dostępu do tymczasowego magazynu aplikacji.
Ocena ryzyka
Nieautoryzowani atakujący mogą wykorzystać tę podatność do przesyłania dowolnych plików, co może prowadzić do wyczerpania przestrzeni dyskowej lub zwiększenia kosztów przechowywania. To stwarza poważne ryzyko dla bezpieczeństwa aplikacji.
Rekomendacja
Zaleca się aktualizację Filament do wersji 3.3.52, 4.11.5 lub 5.6.5, aby usunąć tę podatność. Należy również przeanalizować formularze, które nie wymagają przesyłania plików, aby zminimalizować ryzyko.
Oryginalny opis (angielski, źródło NVD)
Filament is a collection of full-stack components for accelerated Laravel development. From 3.0.0 until 3.3.52, 4.11.5, and 5.6.5, any schema can contain a file upload form field, so Filament applies Livewire's WithFileUploads trait to the Livewire component the schema is embedded in. However, some schemas, such as the panel login form, do not require file uploads, and exposing unauthenticated temporary file uploads on these components is not an acceptable risk. On these components, an unauthenticated attacker could upload arbitrary files to the application's temporary storage, which could be abused to exhaust disk space or inflate storage costs. This vulnerability is fixed in 3.3.52, 4.11.5, and 5.6.5.

