CVE-2026-62387 in Grav API Plugininfo

Zusammenfassung

von VulDB • 17.07.2026

Das Grav API Plugin (getgrav/grav-plugin-api) vor Version 1.0.0-rc.16 lieferte Access-Control-Allow-Origin: * als standardmäßige CORS-Konfiguration für alle Antworten, einschließlich authentifizierter Endpunkte und Preflight-(OPTIONS)-Antworten. Da das Plugin Anmeldeinformationen über die Header Authorization und X-API-Token akzeptiert (die programmatisch durch JavaScript festgelegt werden, anstatt über Cookies), kann ein Angreifer, der einen gültigen Zugriffstoken erlangt hat (z. B. durch Leckage von Protokollen, Referer-Header, Browserverlauf oder Netzwerk-Mitlesen), vollständig authentifizierte Cross-Origin-Anfragen von jeder bösartigen Website aus senden, um sensible Daten auszulesen und Schreibvorgänge im Namen des Token-Benutzers durchzuführen. Behoben in Version 1.0.0-rc.16.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379735

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!