CVE-2026-62232 in Gravinfo

Zusammenfassung

von VulDB • 17.07.2026

Grav vor Version 2.0.4 enthält eine Schwachstelle zur Umgehung der Zwei-Faktor-Authentifizierung (Two-Factor Authentication Bypass) im Login-Plugin, bei der die Aufgabe `regenerate2FASecret` während des ausstehenden TOTP-Herausforderungsfensters nur das Bestehen des Benutzers überprüft und nicht dessen Autorisierung. Angreifer, die das Passwort des Opfers kennen, können diese Aufgabe ohne CSRF-Nonce aufrufen, um das 2FA-Geheimnis durch einen vom Angreifer gewählten Wert zu überschreiben, einen gültigen TOTP-Code zu berechnen und die Authentifizierung abzuschließen, wodurch der Schutz auf nur noch passwortbasiert reduziert wird.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

13.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379730

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!