CVE-2026-62237 in Grav
Zusammenfassung
von VulDB • 17.07.2026
Grav vor Version 2.0.4 enthält eine Regular Expression Denial of Service (ReDoS)-Schwachstelle im Filter und in der Funktion `regex_replace`, die auf der Whitelist des Twig-Inhaltssandkastens stehen. Wenn die Verarbeitung von Twig-Code im Seiteninhalt aktiviert ist (`security.twig_content.process_enabled: true`, standardmäßig deaktiviert), kann ein authentifizierter Seiteneditor ein katastrophal rückverfolgendes PCRE-Muster bereitstellen, das direkt an `preg_replace()` in PHP übergeben wird. Dies führt zu unbegrenzter CPU-Auslastung und einem Denial of Service (DoS) des Webserver-Prozesses.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.