Pubblicato il 2026-07-13 · Fonte: NVD NIST
La vulnerabilità CVE-2026-49972 è una vulnerabilità di upload di file che consente agli attaccanti non autenticati di eseguire codice remoto caricando un file con un'estensione PHP nascosta all'interno di una doppia estensione, come ad esempio shell.php.jpg. Ciò avviene perché l'estrazione di PATHINFO_FILENAME preserva l'estensione PHP interna nel nome base, e su server Apache o nginx non configurati correttamente, il file archiviato viene interpretato come codice eseguibile. La vulnerabilità è classificata come CWE-434 e ha un punteggio CVSS di 8,8, indicando un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per eseguire codice remoto sul sistema, potenzialmente portando a violazioni della sicurezza e accesso non autorizzato ai dati. I sistemi a rischio sono quelli che utilizzano Laravel-Mediable prima della versione 7.0.0 e che hanno server Apache o nginx non configurati correttamente, in modo da eseguire qualsiasi file con estensione PHP come codice PHP.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare Laravel-Mediable alla versione 7.0.0 o successiva. Inoltre, è importante configurare correttamente i server Apache e nginx per evitare l'esecuzione di file con estensione PHP in modo non intenzionale. È anche raccomandato implementare controlli di validazione e sanitizzazione dei file caricati per prevenire attacchi di upload di file malevoli.
La vulnerabilità CVE-2026-49972 è una vulnerabilità di upload di file che consente l'esecuzione di codice remoto in Laravel-Mediable prima della versione 7.0.0
L'impatto della vulnerabilità è l'esecuzione di codice remoto sul sistema, potenzialmente portando a violazioni della sicurezza e accesso non autorizzato ai dati
Per proteggersi da questa vulnerabilità, è necessario aggiornare Laravel-Mediable alla versione 7.0.0 o successiva e configurare correttamente i server Apache e nginx
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.