← 戻る
Webアプリケーション
CVE-2026-48557 high CVSS 8.8

Spatie Laravel Media Library contains a file upload restriction bypass

概要

Spatie Laravel Media Library contains a file upload restriction bypass

AI要約 openai / gpt-4o

Spatie Laravel Media Libraryのバージョン11.23.0未満には、FileAdder::defaultSanitizer()におけるファイルアップロード制限の迂回の脆弱性があります。サニタイザは最終的なファイル名の拡張子のみをチェックし、.php6や.shtmlなどの実行可能拡張子を除外しています。
❓ 何が問題か
ファイルアップロード制限の迂回が可能になる脆弱性。
📍 影響範囲
Spatie Laravel Media LibraryのFileAdder::defaultSanitizer()
🔥 重要度
Double-extensionファイルがサニタイザを回避できることで、悪意あるファイルが実行可能になる可能性があります。
🔧 修正方法
バージョン11.23.0以上にアップデートしてください。
🛡️ 暫定回避
不完全なブロックリストを修正するか、適切なサーバー設定を確認する。
🔍 検知方法
ファイルアップロードの挙動およびサーバーログをチェックして異常を検出する。

影響パッケージ

composer spatie/laravel-medialibrary
[{"type":"ECOSYSTEM","events":[{"introduced":"0"},{"fixed":"11.23.0"}]}]

参照URL

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →