Origine : bjCSIRT
Numéro : 2026/ALERTE/015
APERÇU :
Une vulnérabilité critique affectant plank/laravel-mediable permettrait à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance sur les systèmes affectés.
DESCRIPTION :
plank/laravel-mediable est une bibliothèque dédiée au framework Laravel, conçue pour simplifier et structurer l’association de fichiers (images, vidéos ou documents) à différents éléments d’une application web.
Ce package est affecté par une vulnérabilité critique libellée CVE-2026-4809 résultant d’une validation insuffisante des types de fichiers lors du processus de téléversement. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de téléverser des fichiers arbitraires pouvant conduire à une exécution de code à distance sur les systèmes affectés.
Elle est classée critique avec un score de sévérité de 9.8 selon le CVSS V3.1.
IMPACT
- Exécution de code arbitraire à distance ;
- Atteinte à l’intégrité et à la disponibilité des données ;
- Compromission de l’intégrité du système.
SYSTÈMES AFFECTÉS :
- Toutes les versions de plank/laravel-mediable jusqu’à la version 6.4.0 incluse.
MESURES À PRENDRE :
- Implémenter une validation stricte côté serveur pour vérifier les fichiers selon leur contenu réel et leur extension, au lieu du type MIME fourni par le client ;
- S’assurer que les répertoires de stockage des fichiers téléversés ne disposent pas de droits d’exécution au niveau du serveur web (ex: via .htaccess ou configuration Nginx) ;
- Appliquer les correctifs de sécurité dès que l’éditeur aura mis à disposition une version corrigée.
RÉFÉRENCES :