CVE-2026-61452 in Gravinfo

Zusammenfassung

von VulDB • 15.07.2026

Das Grav-API-Plugin (getgrav/grav-plugin-api) vor Version 2.0.4 enthält eine Schwachstelle aufgrund unsachgemäßer Session-Invaliderung, bei der JWT-Zugriffstoken ohne jti-Anspruch (JWT ID) ausgestellt werden und daher serverseitig nicht widerrufen werden können. Im Gegensatz zu Refresh-Tokens bleiben Zugriffstoken für ihre gesamte Lebensdauer (standardmäßig 1 Stunde) gültig, unabhängig von Abmeldung, Passwortänderung, Ausstellung neuer Token oder Deaktivierung des Kontos. Ein Angreifer, der ein Zugriffstoken gestohlen hat, behält den vollständigen API-Zugriff bis zum natürlichen Ablauf des Tokens bei.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

VulnCheck

Reservieren

09.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379248

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Interested in the pricing of exploits?

See the underground prices here!