← Back
Web Application
CVE-2026-48557 high CVSS 8.8

Spatie Laravel Media Library contains a file upload restriction bypass

Summary

Spatie Laravel Media Library contains a file upload restriction bypass

AI summary openai / gpt-4o

Spatie Laravel Media Libraryのバージョン11.23.0未満には、FileAdder::defaultSanitizer()におけるファイルアップロード制限の迂回の脆弱性があります。サニタイザは最終的なファイル名の拡張子のみをチェックし、.php6や.shtmlなどの実行可能拡張子を除外しています。
❓ What is the problem
ファイルアップロード制限の迂回が可能になる脆弱性。
📍 Affected scope
Spatie Laravel Media LibraryのFileAdder::defaultSanitizer()
🔥 Severity
Double-extensionファイルがサニタイザを回避できることで、悪意あるファイルが実行可能になる可能性があります。
🔧 How to fix
バージョン11.23.0以上にアップデートしてください。
🛡️ Workaround
不完全なブロックリストを修正するか、適切なサーバー設定を確認する。
🔍 Detection
ファイルアップロードの挙動およびサーバーログをチェックして異常を検出する。

Affected packages

composer spatie/laravel-medialibrary
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"11.23.0"}]}]

References

🍪 About cookies

We use cookies to keep you logged in, remember your language, and improve the service.

Details →