CVE-2026-62236 in grav
Zusammenfassung
von VulDB • 17.07.2026
grav-plugin-login vor Version 3.8.11 enthält eine Cross-Site Request Forgery (CSRF)-Schwachstelle in der Frontend-Aufgabe `login.regenerate2FASecret`, die ein neues TOTP-Geheimnis für den authentifizierten Sitzungsbenutzer generiert und speichert, ohne dass ein Anti-CSRF-Nonce oder Origin-/Referer-Prüfungen durchgeführt werden. Da Grav Core diese Aufgabe über den GET-uri-Parameter `task:` aufruft und das Standardsitzungscookie auf SameSite=Lax gesetzt ist, kann ein Angreifer einen angemeldeten Opferbenutzer zu einer externen Seite locken, die eine top-level GET-Navigation ausführt. Dadurch wird das TOTP-Geheimnis des Opfers rotiert, sodass der registrierte Authenticator nicht mehr mit dem Server übereinstimmt und effektiv eine erneute Registrierung für 2FA erzwungen wird. Websites, die mit `session.samesite: Strict` konfiguriert sind, sind davon nicht betroffen.
If you want to get best quality of vulnerability data, you may have to visit VulDB.