← Retour
CVE-2026-48557
high
CVSS 8.8
Spatie Laravel Media Library contains a file upload restriction bypass
Résumé
Spatie Laravel Media Library contains a file upload restriction bypass
Résumé IA openai / gpt-4o
Une vulnérabilité référencée **CVE-2026-48557** a été découverte dans laravel.
L'exploitation peut entraîner la prise de contrôle totale du système. Score CVSS : 8.8/10.
Action : appliquez le correctif officiel de l'éditeur.
En cas de doute, contactez votre service informatique ou cherchez « laravel CVE-2026-48557 » sur le site de l'éditeur.
CVE-2026-48557 (laravel) — CWE-184 / CVSS v3 8.8
Vecteur d'attaque : distant (réseau) / sans interaction utilisateur
Plan : 1) Audit SBOM, 2) Mise à jour staging→prod, 3) Surveillance WAF/proxy sur les endpoints affectés, 4) Recherche d'IOC dans les logs.
Réfs : voir GHSA / avis éditeur / version corrigée liés sur cette page.
❓ Quel est le problème
ファイルアップロード制限の迂回が可能になる脆弱性。
📍 Périmètre concerné
Spatie Laravel Media LibraryのFileAdder::defaultSanitizer()
🔥 Gravité
Double-extensionファイルがサニタイザを回避できることで、悪意あるファイルが実行可能になる可能性があります。
🔧 Comment corriger
バージョン11.23.0以上にアップデートしてください。
🛡️ Contournement
不完全なブロックリストを修正するか、適切なサーバー設定を確認する。
🔍 Détection
ファイルアップロードの挙動およびサーバーログをチェックして異常を検出する。
Paquets affectés
composer
spatie/laravel-medialibrary
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"11.23.0"}]}]
Références
- web https://github.com/spatie/laravel-medialibrary/commit/608ea03703d3887c46434f5dda6af56de6346aba
- web https://github.com/spatie/laravel-medialibrary/pull/3939
- web https://github.com/spatie/laravel-medialibrary/releases/tag/11.23.0
- web https://www.vulncheck.com/advisories/spatie-laravel-media-library-file-upload-restriction-bypass-via-fileadder-php
- web https://nvd.nist.gov/vuln/detail/CVE-2026-48557
- web https://github.com/advisories/GHSA-3ggm-c5m7-hfv5