Origine : bjCSIRT
Numéro : 2026/ALERTE/062
APERÇU :
Une vulnérabilité affectant le gestionnaire de fichiers du framework Laravel permettrait à un acteur malveillant authentifié d’exécuter du code arbitraire à distance sur le serveur web affecté.
DESCRIPTION
Laravel-file-manager (paquet alexusmai/laravel-file-manager) est un composant tiers populaire pour le framework web Laravel, utilisé pour le téléchargement et la gestion des fichiers utilisateurs.
Ce composant est affecté par une vulnérabilité libellée CVE-2025-56399 résultant d’une validation insuffisante des fichiers téléversés. Son exploitation permettrait à un acteur malveillant authentifié de contourner les filtres de sécurité en téléversant un fichier image contenant du code malveillant, puis en utilisant la fonction de renommage pour modifier l’extension en .php. L’accès à ce fichier via une URL publique, entraîne l’exécution de code arbitraire sur le serveur web.
Elle est classée élevée avec un score de sévérité de 8.8 selon le CVSS V3.1.
IMPACT
- Exécution de code arbitraire à distance ;
- Compromission totale du serveur web ;
- Atteinte à la confidentialité, à l’intégrité et à la disponibilité des données.
SYSTEMES AFFECTÉS
Les versions 3.3.3 et antérieures du paquet alexusmai/laravel-file-manager.
MESURES À PRENDRE :
- Restreindre l’accès à l’interface du gestionnaire de fichiers aux comptes d’administration de confiance ;
- Configurer le serveur web pour interdire l’exécution de scripts PHP dans les répertoires de téléchargement réservés aux utilisateurs ;
- Désactiver temporairement la fonction de renommage ou suspendre l’utilisation du composant jusqu’au déploiement d’une mise à jour corrective par l’éditeur.
RÉFÉRENCES :
