CVE-2026-61453 in Gravinfo

Zusammenfassung

von VulDB • 15.07.2026

Grav v2.0.0 enthält eine Cross-Site-Scripting-Lücke (XSS), die in Version 2.0.1 behoben wurde. Der XSS-Blueprint-Validator (Security::detectXss()) wird vor der Twig-Verarbeitung auf dem rohen Seiteninhalt ausgeführt. Wenn die Twig-Inhaltsverarbeitung aktiviert ist (twig_content.process_enabled: true), kann ein Angreifer mit API-Berechtigung zum Schreiben von Seiten den String-Konkatenationsoperator (~) von Twig verwenden, um zur Renderzeit dynamisch Ereignishandler-Namen, gefährliche Tag-Namen oder gefährliche Protokolle zu konstruieren (z. B. {% set x = "on" ~ "error" %}). Der Validator sieht nur den harmlosen Twig-Ausdruck und erlaubt den Inhalt; nach der Twig-Renderng enthält die Ausgabe (gerendert über {{ page.content|raw }}) jedoch ein aktives Payload wie <img src=1 onerror=alert(1)>, wodurch beliebiger JavaScript-Code in den Browsern der Besucher ausgeführt wird.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

VulnCheck

Reservieren

09.07.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379249

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Want to know what is going to be exploited?

We predict KEV entries!