UNKNOWNCVE-2026-33687
CVE-2026-33687 Laravel Sharp 文件上传漏洞,绕过文件类型限制
平台
laravel
组件
laravel
已修复版本
9.20.0
CVE-2026-33687 描述了 Laravel Sharp 中的一个文件上传漏洞。该漏洞允许已认证用户绕过所有文件类型限制。通过拦截请求并发送 validation_rule[]=file,攻击者可以完全绕过所有 MIME 类型和文件扩展名限制。受影响版本为 9.20.0 之前。该问题已在 9.20.0 版本中得到修复,建议用户尽快升级。
修复方法
将 Sharp 更新到 9.20.0 或更高版本。 此版本通过删除客户端控制的验证规则并在服务器端严格定义上传规则来修复此漏洞。 作为替代方案,请确保用于 Sharp 上传的存储磁盘是严格私有的。
常见问题
什么是 CVE-2026-33687?
CVE-2026-33687 是 Laravel Sharp 中的一个文件上传漏洞,允许攻击者绕过文件类型限制。
我是否受到 CVE-2026-33687 的影响?
如果您正在使用 Laravel Sharp 9.20.0 之前的版本,则可能受到此漏洞的影响。
如何修复 CVE-2026-33687?
升级到 Laravel Sharp 9.20.0 或更高版本以修复此漏洞。