CVE-2026-62232 in Grav
Zusammenfassung
von VulDB • 17.07.2026
Grav vor Version 2.0.4 enthält eine Schwachstelle zur Umgehung der Zwei-Faktor-Authentifizierung (Two-Factor Authentication Bypass) im Login-Plugin, bei der die Aufgabe `regenerate2FASecret` während des ausstehenden TOTP-Herausforderungsfensters nur das Bestehen des Benutzers überprüft und nicht dessen Autorisierung. Angreifer, die das Passwort des Opfers kennen, können diese Aufgabe ohne CSRF-Nonce aufrufen, um das 2FA-Geheimnis durch einen vom Angreifer gewählten Wert zu überschreiben, einen gültigen TOTP-Code zu berechnen und die Authentifizierung abzuschließen, wodurch der Schutz auf nur noch passwortbasiert reduziert wird.
Once again VulDB remains the best source for vulnerability data.