HIGHCVE-2026-33687CVSS 8.8

CVE-2026-33687 Laravel Sharp 文件上传漏洞，绕过文件类型限制

Q: CVE-2026-33687 是什么 — laravel 中的 Unrestricted File Upload？

Sharp 是一个为 Laravel 构建的内容管理框架，可简化表单创建和数据管理。

Q: laravel 中的 CVE-2026-33687 是否会影响我？

检查您正在使用的 Sharp 版本。如果它早于 9.20.0，则容易受到攻击。您可以在 Laravel 项目的 `composer.json` 文件中验证版本。

Q: 如何修复 laravel 中的 CVE-2026-33687？

使用此漏洞，攻击者可以上传任何类型的文件，包括通常会被禁止的可执行文件。

Q: CVE-2026-33687 是否正在被积极利用？

如果您无法立即更新，请考虑实施更严格的防火墙规则以限制可以上传的文件类型，并密切监控服务器日志。

Q: 在哪里可以找到 laravel 关于 CVE-2026-33687 的官方安全通告？

升级后，请审查您的文件上传安全策略，并确保所有用户输入都得到适当验证和清理。

平台

laravel

组件

laravel

修复版本

9.20.1

9.20.0

9.20.1

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年3月

在NVD查看

保存

CVE-2026-33687 描述了 Laravel Sharp 中的一个文件上传漏洞。该漏洞允许已认证用户绕过所有文件类型限制。通过拦截请求并发送 validation_rule[]=file，攻击者可以完全绕过所有 MIME 类型和文件扩展名限制。受影响版本为 9.20.0 之前。该问题已在 9.20.0 版本中得到修复，建议用户尽快升级。

影响与攻击场景

Sharp，一个为 Laravel 构建的内容管理框架，存在 CVE-2026-33687 漏洞，允许经过身份验证的用户绕过文件上传端点中的所有文件类型限制。这是由于客户端控制的 validation_rule 参数验证中的缺陷造成的。9.20.0 之前的版本会受到影响。攻击者可以操纵此参数来上传通常会被禁止的文件，例如可执行文件，从而可能危及服务器安全和数据完整性。CVSS 分数为 8.8，表明存在高风险。缺乏适当的服务器端强制执行会导致远程代码执行和其他恶意活动。

利用背景

此漏洞通过向 Sharp 的文件上传端点发送 HTTP POST 请求并操纵 validation_rule 参数来允许上传未经授权的文件类型来利用。由于需要身份验证，攻击者必须在 Sharp 应用程序中拥有有效的用户帐户。利用的复杂性相对较低，因为它不需要高级技术技能或专用工具。影响可能很大，允许攻击者破坏服务器或访问敏感信息。

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.05% (15% 百分位)

CISA SSVC

利用情况none

可自动化no

技术影响total

受影响的软件

组件laravel

供应商osv

影响范围修复版本

< 9.20.0 – < 9.20.09.20.1

—9.20.0

9.20.09.20.1

弱点分类 (CWE)

CWE-434

时间线

已保留2026-03-23
发布日期2026-03-26
修改日期2026-04-02
EPSS 更新日期2026-04-03

缓解措施和替代方案

此漏洞的解决方案是将 Sharp 升级到 9.20.0 或更高版本。此版本通过在 ApiFormUploadController 中实施对 validation_rule 参数的更严格验证来修复验证缺陷。此外，建议审查和加强文件上传安全策略，确保所有用户输入都在服务器端得到适当验证和清理。上传后实施恶意文件扫描系统也有助于降低风险。及时应用这些更新和安全措施对于保护您的 Laravel 应用程序至关重要。

修复方法

将 Sharp 更新到 9.20.0 或更高版本。 此版本通过删除客户端控制的验证规则并在服务器端严格定义上传规则来修复此漏洞。 作为替代方案，请确保用于 Sharp 上传的存储磁盘是严格私有的。

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-33687 是什么 — laravel 中的 Unrestricted File Upload？