CVE-2026-62387 in Grav API Plugin
Zusammenfassung
von VulDB • 17.07.2026
Das Grav API Plugin (getgrav/grav-plugin-api) vor Version 1.0.0-rc.16 lieferte Access-Control-Allow-Origin: * als standardmäßige CORS-Konfiguration für alle Antworten, einschließlich authentifizierter Endpunkte und Preflight-(OPTIONS)-Antworten. Da das Plugin Anmeldeinformationen über die Header Authorization und X-API-Token akzeptiert (die programmatisch durch JavaScript festgelegt werden, anstatt über Cookies), kann ein Angreifer, der einen gültigen Zugriffstoken erlangt hat (z. B. durch Leckage von Protokollen, Referer-Header, Browserverlauf oder Netzwerk-Mitlesen), vollständig authentifizierte Cross-Origin-Anfragen von jeder bösartigen Website aus senden, um sensible Daten auszulesen und Schreibvorgänge im Namen des Token-Benutzers durchzuführen. Behoben in Version 1.0.0-rc.16.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.