CVE-2026-62236 in gravinfo

Zusammenfassung

von VulDB • 17.07.2026

grav-plugin-login vor Version 3.8.11 enthält eine Cross-Site Request Forgery (CSRF)-Schwachstelle in der Frontend-Aufgabe `login.regenerate2FASecret`, die ein neues TOTP-Geheimnis für den authentifizierten Sitzungsbenutzer generiert und speichert, ohne dass ein Anti-CSRF-Nonce oder Origin-/Referer-Prüfungen durchgeführt werden. Da Grav Core diese Aufgabe über den GET-uri-Parameter `task:` aufruft und das Standardsitzungscookie auf SameSite=Lax gesetzt ist, kann ein Angreifer einen angemeldeten Opferbenutzer zu einer externen Seite locken, die eine top-level GET-Navigation ausführt. Dadurch wird das TOTP-Geheimnis des Opfers rotiert, sodass der registrierte Authenticator nicht mehr mit dem Server übereinstimmt und effektiv eine erneute Registrierung für 2FA erzwungen wird. Websites, die mit `session.samesite: Strict` konfiguriert sind, sind davon nicht betroffen.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

VulnCheck

Reservieren

13.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379731

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!