Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Snyk (CVE-2024-21546)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
18/12/2024
Última modificación:
27/01/2025

Descripción

Las versiones del paquete unisharp/laravel-filemanager anteriores a la 2.9.1 son vulnerables a la ejecución remota de código (RCE) mediante el uso de un tipo MIME válido y la inserción del carácter . después de la extensión del archivo php. Esto permite al atacante ejecutar código malicioso.