CVE-2026-48555 是一个存在于 Spatie Laravel Media Library 组件（版本低于 11.23.0）中的服务器端请求伪造（SSRF）漏洞。该漏洞源于 InteractsWithMedia.php 文件中的 addMediaFromUrl() 方法未充分验证用户提供的 URL，导致远程攻击者能够诱使服务器向任意外部或内部地址发起 HTTP 请求。攻击者可以利用此漏洞探测内网服务、扫描开放端口、读取云元数据（如 AWS 或 GCP 的实例元数据）或发起针对内部系统的攻击。尽管 CVSS 评分为 7.4（高危），但需要注意的是该漏洞尚未被列入已知被利用漏洞目录（KEV），也未有明确的在野利用报告。受影响的应用是任何集成了受影响 Spatie Laravel Media Library 版本且未对用户输入进行严格过滤的 Laravel 项目。修复版本为 11.23.0，官方已通过增加 URL 验证和限制措施来修复此问题。建议所有使用该库的团队立即升级，并在无法立即升级的情况下实施临时缓解措施，如限制 addMediaFromUrl() 可接受的域名白名单或禁用该功能。