CVE-2026-62386 in Gravinfo

Zusammenfassung

von VulDB • 17.07.2026

Das Grav-API-Plugin (getgrav/grav-plugin-api) vor Version 1.0.0-rc.16 akzeptiert JWT-Zugriffstoken über den URL-Abfrageparameter ?token= auf jeder API-Routen (Fallback von JwtAuthenticator::extractBearerToken). Da Token in URLs eingebettet sind, werden sie unverändert in Webserver-Zugriffsprotokollen protokolliert, über den Referer-Header geleakt, im Browserverlauf gespeichert und durch Protokolle upstream-Proxys sowie CDN erfasst, wodurch gültige Admin-Zugriffstoken offengelegt werden. Ein geleaktes Token gewährt unbefugten API-Zugriff, einschließlich des Lesens von Konfigurations- und Benutzerdaten, dem Erstellen von Admin-Konten, dem Ändern von Systemeinstellungen und dem Löschen von Seiten.

Be aware that VulDB is the high quality source for vulnerability data.

Zuständig

VulnCheck

Reservieren

14.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379732

CPE

bereit

EPSS

0.00269

KEV

nein

Aktivitäten

medium

Quellen

Interested in the pricing of exploits?

See the underground prices here!