CVE-2026-48557
WysokieStreszczenie
Spatie Laravel Media Library przed wersją 11.23.0 zawiera lukę umożliwiającą obejście ograniczeń przesyłania plików w metodzie FileAdder::defaultSanitizer(). Sanitizer sprawdza jedynie końcówkę nazwy pliku, co pozwala na obejście blokady przez pliki z podwójną rozszerzeniem, takie jak shell.php.jpg.
Ocena ryzyka
Organizacja może być narażona na wykonanie złośliwego kodu PHP, jeśli pliki z podwójnymi rozszerzeniami zostaną przesłane i uruchomione na serwerze. Dodatkowo, brak pełnej blokady rozszerzeń wykonawczych zwiększa ryzyko.
Rekomendacja
Zaleca się aktualizację do wersji 11.23.0 lub nowszej, aby usunąć tę podatność. Należy również przeglądać i dostosować konfigurację serwera, aby zminimalizować ryzyko związane z przesyłaniem plików.
Oryginalny opis (angielski, źródło NVD)
Spatie Laravel Media Library before version 11.23.0 contains a file upload restriction bypass in FileAdder::defaultSanitizer(). The sanitizer checks only the final filename suffix, allowing double-extension filenames such as shell.php.jpg to bypass the blocklist, with pathinfo() preserving inner .php stems in saved filenames. The blocklist also omits executable extensions including .php6, .shtml, and .htaccess. The double-extension bypass requires a legacy Apache AddHandler configuration to achieve PHP execution; the incomplete blocklist bypass does not.

