Spatie Laravel Media Library < 11.23.0 文件上传限制绕过漏洞 漏洞概述 Spatie Laravel Media Library 在版本 11.23.0 之前存在一个文件上传限制绕过漏洞。该漏洞发生在 方法中,该方法仅检查最终文件名的后缀,允许通过 保留内部 后缀的双扩展名文件名(如 )来绕过黑名单。此外,黑名单还遗漏了可执行扩展名,如 、 和 。利用此漏洞需要 Apache 的 配置来实现 PHP 执行,而不完全的黑名单绕过则无法实现。 影响范围 受影响版本: Spatie Laravel Media Library < 11.23.0 修复方案 升级到 Spatie Laravel Media Library 版本 11.23.0 或更高版本以修复此漏洞。 参考链接 GitHub Release GitHub Issue GitHub Commit 贡献者 Xurshidbek Sobirjonov, VulnCheck