Sharp is een content management framework gebouwd voor Laravel als een package. Versies vóór 9.20.0 hebben een path traversal kwetsbaarheid in de FileUtil class. De applicatie slaagt er niet in bestandsextensies correct te sanitiseren, waardoor padscheidingstekens in de opslaglaag kunnen worden doorgegeven. In `src/Utils/FileUtil.php` extraheert de functie `FileUtil::explodeExtension()` een bestandsextensie door de bestandsnaam te splitsen bij de laatste punt. Dit probleem is opgelost in versie 9.20.0 door de extensie correct te sanitiseren

Een succesvolle exploitatie van deze Path Traversal kwetsbaarheid kan leiden tot ongeautoriseerde toegang tot gevoelige bestanden op de server waarop Laravel draait. Dit kan omvatten configuratiebestanden, broncode, database credentials, of andere kritieke data. Een aanvaller kan deze informatie gebruiken om verdere schade aan te richten, zoals het compromitteren van de hele applicatie of het verkrijgen van toegang tot andere systemen binnen het netwerk. De kwetsbaarheid ontstaat doordat de FileUtil::explodeExtension() functie in src/Utils/FileUtil.php bestandsextensies niet correct sanitizeert, waardoor path separators in de storage layer kunnen worden doorgegeven.

Applications utilizing Laravel Sharp versions prior to 9.20.0 are at risk. This includes projects that rely on Sharp for file management and content handling. Shared hosting environments using Laravel Sharp are particularly vulnerable, as they may lack the ability to easily update the framework.

• laravel / server:

find /var/www/laravel/vendor/sharp/src/Utils -name 'FileUtil.php' -print

• laravel / server:

grep -r 'strrpos' /var/www/laravel/vendor/sharp/src/Utils/FileUtil.php

• generic web:

curl -I 'http://your-laravel-app.com/path%2e%2e/to/sensitive/file.txt'

• generic web:

wget -S 'http://your-laravel-app.com/path%2e%2e/to/sensitive/file.txt' | grep 'Server:'

1. 2026-03-26Disclosure

   disclosure

1. Gereserveerd2026-03-23
2. Gepubliceerd2026-03-26
3. Gewijzigd2026-04-01
4. EPSS bijgewerkt2026-04-03

De primaire mitigatie voor CVE-2026-33686 is het upgraden van Laravel naar versie 9.20.0 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een Web Application Firewall (WAF) worden ingezet om path traversal pogingen te detecteren en te blokkeren. Configureer de WAF om verzoeken met verdachte path separators (zoals ../) te filteren. Daarnaast kan het configureren van Laravel's bestandsopslag met strikte permissies helpen om de impact van een succesvolle exploitatie te beperken. Na de upgrade, bevestig de correcte werking door te proberen een bestand buiten de toegestane directory te benaderen via een web request.