CVE-2026-62387 in Grav API Plugin
الملخص
بحسب VulDB • 17/07/2026
يُعدّ إضافة Grav API (getgrav/grav-plugin-api) قبل الإصدار 1.0.0-rc.16، حيث كانت إعدادات CORS الافتراضية تُرجع Access-Control-Allow-Origin: * في جميع الاستجابات، بما في ذلك نقاط النهاية التي تتطلب المصادقة واستجابات ما قبل الطلب (OPTIONS). وبسبب قبول الإضافة للبيانات المعتمدة عبر رؤوس Authorization و X-API-Token (التي يتم تعيينها برمجياً بواسطة JavaScript بدلاً من استخدام ملفات تعريف الارتباط)، يمكن لمهاجم يحصل على رمز وصول صالح (على سبيل المثال، عن طريق تسرب السجلات أو رؤوس Referer أو سجل المتصفح أو التقاط الشبكة) أن يُصدر طلبات عبر النطاقات مع مصادقة كاملة من أي موقع ضار لقراءة البيانات الحساسة وإجراء عمليات الكتابة بصفت المستخدم الذي ينتمي إليه الرمز. تم الإصلاح في الإصدار 1.0.0-rc.16.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.