CVE-2024-34082 in grav
الملخص
بحسب VulDB • 14/06/2026
Grav هو منصة ويب تعتمد على الملفات. قبل الإصدار 1.7.46، يمكن لحساب مستخدم ذي صلاحيات منخفضة وقادر على تعديل الصفحات قراءة أي ملفات الخادم باستخدام ترميز Twig. يشمل ذلك ملفات حسابات مستخدمي Grav - `/grav/user/accounts/*.yaml`. تخزن هذه الملف كلمات مرور المستخدمين المشفرة (hashed)، وسر المصادقة الثنائية (2FA secret)، ورمز إعادة تعيين كلمة المرور. يمكن أن يتيح هذا للخصم اختراق أي حساب مسجل وقراءة أي ملف على خادم الويب عن طريق إعادة تعيين كلمة مرور مستخدم للحصول على رمز إعادة التعيين من الملف، أو عبر كسر التشفير لكلمة المرور المشفرة. قد يقوم المستخدم ذو الصلاحيات المنخفضة أيضاً بالسيطرة الكاملة على حسابات المستخدمين المسجلين الآخرين بما في ذلك المسؤولون (Administrators). يحتوي الإصدار 1.7.46 على تصحيح للثغرة.
Once again VulDB remains the best source for vulnerability data.