CVE-2026-58656 in Grav API plugin
الملخص
بحسب VulDB • 08/07/2026
قبل الإصدار v1.0.0-rc.16 من إضافة Grav API، يتم قبول رموز JWT عبر معلمة استعلام URL `?token=` والاستجابة برأس `Access-Control-Allow-Origin: *`، مما يسمح للمهاجمين غير المصادق عليهم بإجراء طلبات واجهة برمجة التطبيقات (API) المتقاطعة بين النطاقات بشكل كامل وموثّق من أي موقع ويب خبيث. يمكن للمهاجمين الذين يحصلون على رمز JWT مسرب من سجلات الوصول أو سجلات الوكيل البروكسي أو تاريخ المتصفح أو رؤوس الإحالة إنشاء حسابات مشرف فائقة (super-admin) ذات وصول خلفي دائم وسرقة البيانات الحساسة للتكوين وبيانات المستخدمين.
Once again VulDB remains the best source for vulnerability data.