HIGHCVE-2019-25673CVSS 8.8

UniSharp Laravel File Manager v2.0.0-alpha7 Arbitrary File Upload

平台

laravel

组件

laravel

修复版本

2.0.1

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

CVE-2019-25673 是一个影响 UniSharp Laravel File Manager v2.0.0 和 v2.0 的任意文件上传漏洞，允许经过身份验证的攻击者上传恶意文件并执行代码。攻击者可以通过向上传端点发送multipart form data来利用此漏洞。该漏洞影响 UniSharp Laravel File Manager v2.0.0 和 v2.0 版本，已发布修复补丁。

影响与攻击场景

CVE-2019-25673 影响 UniSharp Laravel File Manager 的 2.0.0-alpha7 和 2.0 版本，存在任意文件上传漏洞。经过身份验证的攻击者可以通过向上传端点发送 multipart 数据来上传恶意文件，包括 PHP 文件。由于存在远程代码执行的可能性，此漏洞的严重程度很高（CVSS 8.8）。如果攻击者成功上传 PHP 文件并通过工作目录访问该文件，则可以在服务器上执行任意代码，从而损害应用程序和相关数据的机密性和完整性。此漏洞在生产环境中尤其令人担忧，因为未经授权的访问可能会造成灾难性的后果。由于缺乏适当的文件类型验证，因此可以利用此漏洞，因此需要立即更新以降低风险。

利用背景

通过向 UniSharp Laravel File Manager 的文件上传端点发送 multipart/form-data 请求来利用此漏洞。攻击者会操纵“type”参数，以指示要上传的文件类型为“Files”，即使它不是这种情况。这允许上传 PHP 文件。PHP 文件上传后，攻击者可以通过文件管理器中配置的工作目录路径访问该文件。通过浏览器或 HTTP 请求访问此文件将导致文件中的 PHP 代码在服务器上执行，从而使攻击者获得对系统的控制。为了利用此漏洞，需要进行身份验证，这意味着攻击者必须对 Laravel 应用程序具有有效的访问权限。

哪些人处于风险中翻译中…

Applications using UniSharp Laravel File Manager, particularly those with lax file type validation or overly permissive access controls, are at significant risk. Shared hosting environments where multiple applications share the same server are also particularly vulnerable, as a compromise of one application could potentially lead to the compromise of others.

检测步骤翻译中…

• laravel / server:

find /var/www/laravel/ -name '*.php' -print0 | xargs -0 grep -i 'uniSharp'

• generic web:

curl -I <laravel_app_url>/filemanager/upload | grep 'Content-Type:'

• generic web: Check Laravel application logs for unusual file upload attempts or errors related to file type validation.

攻击时间线

2026-04-05Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

EPSS

0.07% (21% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响total

CVSS 向量

受影响的软件

组件laravel

供应商UniSharp

影响范围修复版本

2.0.0 – 2.0.02.0.1

弱点分类 (CWE)

CWE-434

时间线

已保留2026-04-05
发布日期2026-04-05
修改日期2026-04-07
EPSS 更新日期2026-04-13

缓解措施和替代方案

建议的解决方案是将 UniSharp Laravel File Manager 更新到 2.0.1 或更高版本，该版本修复了此漏洞。在更新之前，建议对应用程序和数据库进行完整备份。此外，请检查服务器安全配置，包括限制对文件管理器工作目录的访问。在服务器端实施强大的文件类型验证对于防止此类类型的未来漏洞至关重要。监控服务器日志以查找可疑活动，例如未经授权的文件上传尝试，有助于检测和响应潜在攻击。考虑实施 Web 应用程序防火墙 (WAF)，以提供额外的攻击保护层。

修复方法翻译中…

Actualice a la versión 2.0.1 o superior para mitigar la vulnerabilidad de carga arbitraria de archivos. Esta actualización corrige la validación de tipos de archivos, previniendo la ejecución de código malicioso.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2019-25673 是什么 — laravel 中的 Arbitrary File Access？

版本 2.0.0-alpha7 和 2.0 存在 CVE-2019-25673 的漏洞。

laravel 中的 CVE-2019-25673 是否会影响我？

检查您的应用程序中安装的 UniSharp Laravel File Manager 的版本。如果是其中一个存在漏洞的版本，则很可能容易受到该漏洞的影响。

如何修复 laravel 中的 CVE-2019-25673？

如果您无法立即更新，请考虑限制对文件管理器的工作目录的访问，并监控服务器日志以查找可疑活动。

CVE-2019-25673 是否正在被积极利用？

攻击者可以在服务器上执行任意代码，从而损害应用程序和数据的机密性、完整性和可用性。

在哪里可以找到 laravel 关于 CVE-2019-25673 的官方安全通告？

您可以在诸如国家漏洞数据库 (NVD) 之类的漏洞数据库中找到有关 CVE-2019-25673 的更多信息。