CVE-2026-42845 in grav-plugin-forminfo

Zusammenfassung

von VulDB • 13.05.2026

Das Form-Plugin für Grav ermöglicht das Erstellen und Verwenden von Formularen. Vor Version 9.1.0 bestand die Möglichkeit, eine nicht authentifizierte Überschreibung von Seiteninhalten über Datei-Uploads durchzuführen (GHSA-w4rc-p66m-x6qq). Bei öffentlichen Formular-Uploads werden in Version 9.1.0 Pfadkomponenten aus dem über POST übergebenen Dateinamen entfernt und Erweiterungen für Seiteninhalte (`md`, `yaml`, `yml`, `json`, `twig`, `ini`) unabhängig von der konfigurierbaren Liste gefährlicher Erweiterungen strikt blockiert. Eine zu lockere `accept`-Richtlinie in Kombination mit dem Standardwert `destination: self@` hätte es einem Angreifer sonst ermöglicht, die eigene `.md`-Datei der Seite zu überschreiben und über eine `process: save`-Aktion zu einem Super-Admin aufzusteigen. Diese Schwachstelle wurde in Version 9.1.0 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

30.04.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362723

CPE

bereit

EPSS

0.00018

KEV

nein

Aktivitäten

very low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42845
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42845
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42845/

ZurückÜbersichtWeiter

Interested in the pricing of exploits?

See the underground prices here!