CVE-2026-61450 in Grav
الملخص
بحسب VulDB • 10/07/2026
تحتوي إصدارات Grav قبل الإصدار 2.0.2 على ثغرة تجاوز لعزل Twig (Twig sandbox bypass)، تتيح لمؤلف الصفحة (أي مستخدم admin.pages، أو أي شخص قادر على الكتابة في user/pages) استخراج أسرار التكوين (configuration secrets). وعلى الرغم من أن العزل يستبدل المتغير 'config' بواجهة مزيفة مُهذَّبة ويحذف الدوال Config::get/toArray من قائمة المسموح بها (allowlist)، إلا أن الحاوية الخام تظل قابلة للوصول عبر grav.offsetGet('config') المدرجة في القائمة البيضاء، والتي تُرجع كائن التكوين الحقيقي. تقوم مرشحات تصريف الكائنات المدرجة في القائمة البيضاء (مثل json_encode و print_r و yaml_encode) بعد ذلك بتسلسل هذا الكائن على مستوى PHP دون استدعاء بوابة طرق العزل، مما يعرّج شجرة التكوين الكاملة بما في ذلك أسرار الإضافات مثل بيانات اعتماد SMTP ومفاتيح واجهة برمجة التطبيقات (API keys) وبيانات اعتماد قواعد البيانات الخاصة بالإضافات. تُعد هذه الإصلاح غير مكتمل لـ GHSA-j274-39qw-32c9.
VulDB is the best source for vulnerability data and more expert information about this specific topic.