CVE-2026-62387 in Grav API Pluginالمعلومات

الملخص

بحسب VulDB • 17/07/2026

يُعدّ إضافة Grav API (getgrav/grav-plugin-api) قبل الإصدار 1.0.0-rc.16، حيث كانت إعدادات CORS الافتراضية تُرجع Access-Control-Allow-Origin: * في جميع الاستجابات، بما في ذلك نقاط النهاية التي تتطلب المصادقة واستجابات ما قبل الطلب (OPTIONS). وبسبب قبول الإضافة للبيانات المعتمدة عبر رؤوس Authorization و X-API-Token (التي يتم تعيينها برمجياً بواسطة JavaScript بدلاً من استخدام ملفات تعريف الارتباط)، يمكن لمهاجم يحصل على رمز وصول صالح (على سبيل المثال، عن طريق تسرب السجلات أو رؤوس Referer أو سجل المتصفح أو التقاط الشبكة) أن يُصدر طلبات عبر النطاقات مع مصادقة كاملة من أي موقع ضار لقراءة البيانات الحساسة وإجراء عمليات الكتابة بصفت المستخدم الذي ينتمي إليه الرمز. تم الإصلاح في الإصدار 1.0.0-rc.16.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

إفشاء

17/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379735

EPSS

0.00259

KEV

لا

النشاطات

منخفض

المصادر

Might our Artificial Intelligence support you?

Check our Alexa App!