O tratamento inseguro do tipo MIME do cliente pode permitir o carregamento arbitrário de arquivos em plank/laravel-mediable

plank/laravel-mediable até a versão 6.4.0 pode permitir o carregamento de um tipo de arquivo perigoso quando um aplicativo que usa o pacote aceita ou prefere um tipo MIME fornecido pelo cliente durante o tratamento do carregamento de arquivos. Nessa configuração, um invasor remoto pode enviar um arquivo contendo código PHP executável enquanto declara um tipo MIME de imagem benigno, resultando no carregamento arbitrário de arquivos. Se o arquivo carregado for armazenado em um local acessível e executável pela web, isso pode levar à execução remota de código (Remote Code Execution). No momento da publicação, nenhum patch estava disponível e o fornecedor não respondeu às tentativas de divulgação coordenada.