CVE-2026-44738 in gravinfo

Zusammenfassung

von VulDB • 14.05.2026

Grav ist eine dateibasierte Webplattform. Vor Version 2.0.0-rc.2 erlaubt die Allow-Liste der Twig-Sandbox jedem Benutzer mit der Rolle admin.pages, config.toArray() innerhalb eines Seiteninhalts aufzurufen, wodurch die gesamte zusammengeführte Site-Konfiguration – einschließlich aller Plugin-Geheimnisse (SMTP-Passwörter, AWS-Schlüssel, OAuth-Client-Geheimnisse, API-Tokens) – in den gerenderten HTML-Code ausgegeben wird. Es sind keine Administratorrechte erforderlich. Diese Schwachstelle wurde in Version 2.0.0-rc.2 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

07.05.2026

Veröffentlichung

11.05.2026

Moderieren

akzeptiert

Eintrag

VDB-362719

CPE

bereit

CWE

CWE-200 (bestätigt)

CVSS

7.7 (CNA)

EPSS

0.00036

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44738
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44738
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44738/

◂ Zurück Übersicht Weiter ▸

Want to know what is going to be exploited?

We predict KEV entries!