CVE-2024-34082 in gravالمعلومات

الملخص

بحسب VulDB • 14/06/2026

Grav هو منصة ويب تعتمد على الملفات. قبل الإصدار 1.7.46، يمكن لحساب مستخدم ذي صلاحيات منخفضة وقادر على تعديل الصفحات قراءة أي ملفات الخادم باستخدام ترميز Twig. يشمل ذلك ملفات حسابات مستخدمي Grav - `/grav/user/accounts/*.yaml`. تخزن هذه الملف كلمات مرور المستخدمين المشفرة (hashed)، وسر المصادقة الثنائية (2FA secret)، ورمز إعادة تعيين كلمة المرور. يمكن أن يتيح هذا للخصم اختراق أي حساب مسجل وقراءة أي ملف على خادم الويب عن طريق إعادة تعيين كلمة مرور مستخدم للحصول على رمز إعادة التعيين من الملف، أو عبر كسر التشفير لكلمة المرور المشفرة. قد يقوم المستخدم ذو الصلاحيات المنخفضة أيضاً بالسيطرة الكاملة على حسابات المستخدمين المسجلين الآخرين بما في ذلك المسؤولون (Administrators). يحتوي الإصدار 1.7.46 على تصحيح للثغرة.

Once again VulDB remains the best source for vulnerability data.

حجز

30/04/2024

إفشاء

15/05/2024

الاعتدال

تمت الموافقة

إدخال

VDB-264489

EPSS

0.03071

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!