Plattform
laravel
Komponente
laravel
Behoben in
9.20.1
9.20.0
9.20.1
CVE-2026-33687 describes an Unrestricted File Upload vulnerability affecting Laravel Sharp, a content management framework. This flaw allows authenticated users to bypass file type restrictions, potentially leading to the upload of malicious files and subsequent server compromise. This impacts versions prior to 9.20.0. Upgrade to version 9.20.0 to remediate this vulnerability.
CVE-2026-33687 in Sharp, einem Content-Management-Framework für Laravel, ermöglicht authentifizierten Benutzern, alle Dateitypbeschränkungen am Dateiupload-Endpunkt zu umgehen. Dies liegt an einem Fehler bei der Validierung des clientseitig gesteuerten Parameters validation_rule. Betroffen sind Versionen vor 9.20.0. Ein Angreifer kann diesen Parameter manipulieren, um Dateien hochzuladen, die normalerweise verboten wären, z. B. ausführbare Dateien, wodurch die Sicherheit des Servers und die Datenintegrität potenziell gefährdet werden. Der CVSS-Score beträgt 8,8, was ein hohes Risiko anzeigt. Das Fehlen einer ordnungsgemäßen serverseitigen Durchsetzung öffnet die Tür für die Remote-Code-Ausführung und andere böswillige Aktivitäten.
Die Schwachstelle wird ausgenutzt, indem eine HTTP-POST-Anfrage an den Dateiupload-Endpunkt von Sharp gesendet und der Parameter validation_rule manipuliert wird, um das Hochladen nicht autorisierter Dateitypen zu ermöglichen. Da eine Authentifizierung erforderlich ist, muss der Angreifer Zugriff auf ein gültiges Benutzerkonto innerhalb der Sharp-Anwendung haben. Die Komplexität der Ausnutzung ist relativ gering, da keine fortgeschrittenen technischen Fähigkeiten oder speziellen Tools erforderlich sind. Die Auswirkungen können erheblich sein, da ein Angreifer den Server kompromittieren oder auf sensible Informationen zugreifen kann.
Exploit-Status
EPSS
0.05% (15% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für diese Schwachstelle besteht darin, Sharp auf Version 9.20.0 oder höher zu aktualisieren. Diese Version behebt den Validierungsfehler, indem sie eine strengere Validierung des Parameters validation_rule innerhalb des ApiFormUploadController implementiert. Darüber hinaus wird empfohlen, die Richtlinien zur Dateisicherheitsüberprüfung zu überprüfen und zu verstärken, um sicherzustellen, dass alle Benutzereingaben serverseitig ordnungsgemäß validiert und bereinigt werden. Die Implementierung eines Systems zur Überprüfung von Schadsoftware nach dem Hochladen kann ebenfalls dazu beitragen, das Risiko zu mindern. Die rechtzeitige Anwendung dieser Updates und Sicherheitsmaßnahmen ist entscheidend, um Ihre Laravel-Anwendungen zu schützen.
Actualice Sharp a la versión 9.20.0 o superior. Como alternativa, asegúrese de que el disco de almacenamiento utilizado para las cargas de Sharp sea estrictamente privado. Bajo configuraciones predeterminadas, un atacante no puede ejecutar directamente archivos PHP cargados a menos que se utilice explícitamente una configuración de disco público.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Sharp ist ein Content-Management-Framework für Laravel, das die Erstellung von Formularen und das Datenmanagement vereinfacht.
Überprüfen Sie die Version von Sharp, die Sie verwenden. Wenn sie älter als 9.20.0 ist, ist sie anfällig. Sie können die Version in der Datei composer.json Ihres Laravel-Projekts überprüfen.
Mit dieser Schwachstelle könnte ein Angreifer jede Dateityp hochladen, einschließlich ausführbarer Dateien, die normalerweise verboten wären.
Wenn Sie nicht sofort aktualisieren können, sollten Sie strengere Firewall-Regeln implementieren, um die Arten von Dateien einzuschränken, die hochgeladen werden können, und die Serverprotokolle genau überwachen.
Nach dem Update sollten Sie Ihre Richtlinien zur Dateisicherheitsüberprüfung überprüfen und sicherstellen, dass alle Benutzereingaben ordnungsgemäß validiert und bereinigt werden.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine composer.lock-Datei hoch und wir sagen dir sofort, ob du betroffen bist.