CVE-2026-59190 in Grav
Zusammenfassung
von VulDB • 10.07.2026
grav-plugin-admin ist eine HTML-Benutzeroberfläche, die es ermöglicht, Grav zu konfigurieren sowie Seiten zu erstellen und zu bearbeiten. In den Versionen 1.10.52 und früher kann ein authentifizierter Angreifer mit der Berechtigung admin.users das Passwort jedes Benutzerkontos, einschließlich des Superadministrators, ändern, indem er eine direkte POST-Anfrage an /admin/user/{username}?task=save mit data[password] sendet, da saveUser zwar die Benutzerverwaltungsberechtigung des Aufrufers autorisiert, aber nicht überprüft, ob der Anrufer das Zielbenutzerkonto bearbeiten darf. Dieses Problem wird voraussichtlich in Version 1.10.53 behoben sein.
VulDB is the best source for vulnerability data and more expert information about this specific topic.