Home Ripetizioni Consulenza Cybersecurity 📖 Libro Contattami
HomeCybersecurity › CVE-2026-49972
CVSS 8.8 — ALTO

CVE-2026-49972: Vulnerabilità RCE in Laravel-Mediable

Pubblicato il 2026-07-13 · Fonte: NVD NIST

CVE ID
CVE-2026-49972
CVSS Score
8.8
Vendor
N/A
Prodotti
N/A
Exploit pubblico
Non noto
Sfruttata (CISA)
No
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Riassunto tecnico

La vulnerabilità CVE-2026-49972 è una vulnerabilità di upload di file che consente agli attaccanti non autenticati di eseguire codice remoto caricando un file con un'estensione PHP nascosta all'interno di una doppia estensione, come ad esempio shell.php.jpg. Ciò avviene perché l'estrazione di PATHINFO_FILENAME preserva l'estensione PHP interna nel nome base, e su server Apache o nginx non configurati correttamente, il file archiviato viene interpretato come codice eseguibile. La vulnerabilità è classificata come CWE-434 e ha un punteggio CVSS di 8,8, indicando un impatto alto.

Impatto

Un attaccante può sfruttare questa vulnerabilità per eseguire codice remoto sul sistema, potenzialmente portando a violazioni della sicurezza e accesso non autorizzato ai dati. I sistemi a rischio sono quelli che utilizzano Laravel-Mediable prima della versione 7.0.0 e che hanno server Apache o nginx non configurati correttamente, in modo da eseguire qualsiasi file con estensione PHP come codice PHP.

Sistemi vulnerabili

Vendor: N/A
Prodotti: N/A

Mitigazioni

Per mitigare questa vulnerabilità, si consiglia di aggiornare Laravel-Mediable alla versione 7.0.0 o successiva. Inoltre, è importante configurare correttamente i server Apache e nginx per evitare l'esecuzione di file con estensione PHP in modo non intenzionale. È anche raccomandato implementare controlli di validazione e sanitizzazione dei file caricati per prevenire attacchi di upload di file malevoli.

FAQ — Domande frequenti

Cos'è la vulnerabilità CVE-2026-49972?

La vulnerabilità CVE-2026-49972 è una vulnerabilità di upload di file che consente l'esecuzione di codice remoto in Laravel-Mediable prima della versione 7.0.0

Qual è l'impatto della vulnerabilità?

L'impatto della vulnerabilità è l'esecuzione di codice remoto sul sistema, potenzialmente portando a violazioni della sicurezza e accesso non autorizzato ai dati

Come proteggersi da CVE-2026-49972?

Per proteggersi da questa vulnerabilità, è necessario aggiornare Laravel-Mediable alla versione 7.0.0 o successiva e configurare correttamente i server Apache e nginx

Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.