CVE-2026-61452 in Grav
Zusammenfassung
von VulDB • 15.07.2026
Das Grav-API-Plugin (getgrav/grav-plugin-api) vor Version 2.0.4 enthält eine Schwachstelle aufgrund unsachgemäßer Session-Invaliderung, bei der JWT-Zugriffstoken ohne jti-Anspruch (JWT ID) ausgestellt werden und daher serverseitig nicht widerrufen werden können. Im Gegensatz zu Refresh-Tokens bleiben Zugriffstoken für ihre gesamte Lebensdauer (standardmäßig 1 Stunde) gültig, unabhängig von Abmeldung, Passwortänderung, Ausstellung neuer Token oder Deaktivierung des Kontos. Ein Angreifer, der ein Zugriffstoken gestohlen hat, behält den vollständigen API-Zugriff bis zum natürlichen Ablauf des Tokens bei.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.