CVE-2026-59190 in Gravinfo

Zusammenfassung

von VulDB • 10.07.2026

grav-plugin-admin ist eine HTML-Benutzeroberfläche, die es ermöglicht, Grav zu konfigurieren sowie Seiten zu erstellen und zu bearbeiten. In den Versionen 1.10.52 und früher kann ein authentifizierter Angreifer mit der Berechtigung admin.users das Passwort jedes Benutzerkontos, einschließlich des Superadministrators, ändern, indem er eine direkte POST-Anfrage an /admin/user/{username}?task=save mit data[password] sendet, da saveUser zwar die Benutzerverwaltungsberechtigung des Aufrufers autorisiert, aber nicht überprüft, ob der Anrufer das Zielbenutzerkonto bearbeiten darf. Dieses Problem wird voraussichtlich in Version 1.10.53 behoben sein.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

02.07.2026

Veröffentlichung

10.07.2026

Moderieren

akzeptiert

Eintrag

VDB-377563

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!