getgrav Grav bis 2.0.3 Grav API jti schwache Authentisierung

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.59

Zusammenfassunginfo

In getgrav Grav bis 2.0.3 wurde eine Schwachstelle gefunden. Sie wurde als kritisch eingestuft. Betroffen ist eine unbekannte Verarbeitung der Komponente Grav API. Durch die Manipulation des Arguments jti mit unbekannten Daten kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Diese Schwachstelle trägt die Bezeichnung CVE-2026-61452. Es ist möglich, den Angriff aus der Ferne durchzuführen. Es gibt keinen verfügbaren Exploit.

Detailsinfo

Es wurde eine kritische Schwachstelle in getgrav Grav bis 2.0.3 ausgemacht. Dabei betrifft es ein unbekannter Prozess der Komponente Grav API. Dank Manipulation des Arguments jti mit einer unbekannten Eingabe kann eine schwache Authentisierung-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-613 vorgenommen. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:

The Grav API plugin (getgrav/grav-plugin-api) before 2.0.4 contains an improper session invalidation vulnerability where JWT access tokens are issued without a jti (JWT ID) claim and therefore cannot be revoked server-side. Unlike refresh tokens, access tokens remain valid for their full lifetime (default 1 hour) regardless of logout, password change, new token issuance, or account disablement. An attacker who has stolen an access token retains full API access until the token naturally expires.

Das Advisory kann von github.com heruntergeladen werden. Die Verwundbarkeit wird seit dem 09.07.2026 unter CVE-2026-61452 geführt. Sie ist leicht ausnutzbar. Der Angriff kann über das Netzwerk erfolgen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.

Ein Upgrade auf die Version 2.0.4 vermag dieses Problem zu beheben.

Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2026-44649) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.

Produktinfo

Hersteller

Name

Version

Webseite

CPE 2.3info

CPE 2.2info

CVSSv4info

VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 6.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 6.3
VulDB Temp Score: 6.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍

Exploitinginfo

Klasse: Schwache Authentisierung
CWE: CWE-613
CAPEC: 🔒
ATT&CK: 🔒

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔒
Status: Nicht definiert
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: keine Massnahme bekannt
Status: 🔍

0-Day Time: 🔒

Upgrade: Grav 2.0.4

Timelineinfo

09.07.2026 CVE zugewiesen
15.07.2026 +6 Tage Advisory veröffentlicht
15.07.2026 +0 Tage VulDB Eintrag erstellt
15.07.2026 +0 Tage VulDB Eintrag letzte Aktualisierung

Quelleninfo

Produkt: github.com

Advisory: github.com
Status: Bestätigt

CVE: CVE-2026-61452 (🔒)
GCVE (CVE): GCVE-0-2026-61452
GCVE (VulDB): GCVE-100-379248
EUVD: 🔒

Eintraginfo

Erstellt: 15.07.2026 15:08
Aktualisierung: 15.07.2026 15:59
Anpassungen: 15.07.2026 15:08 (54), 15.07.2026 15:59 (1)
Komplett: 🔍
Cache ID: 216::103

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

Want to stay up to date on a daily basis?

Enable the mail alert feature now!