CVE-2026-42845 in grav-plugin-forminformación

Resumen

por VulDB • 2026-05-14

El plugin de formularios para Grav añade la capacidad de crear y utilizar formularios. Antes de la versión 9.1.0, existía una sobrescritura no autenticada del contenido de la página mediante la carga de archivos (GHSA-w4rc-p66m-x6qq). Las cargas de archivos en formularios públicos ahora eliminan los componentes de la ruta del nombre de archivo proporcionado en la solicitud POST y bloquean estrictamente las extensiones de contenido de página (`md`, `yaml`, `yml`, `json`, `twig`, `ini`), independientemente de la lista configurable de extensiones peligrosas. Una política `accept` permisiva combinada con la configuración predeterminada `destination: self@` podría permitir que un atacante sobrescriba el propio archivo `.md` de la página y pivote hacia una cuenta de superadministrador mediante una acción `process: save`. Esta vulnerabilidad se corrige en la versión 9.1.0.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-30

Divulgación

2026-05-11

Moderación

aceptado

Artículo

VDB-362723

CPE

listo

EPSS

0.00018

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42845
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42845
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42845/

AnteriorVisión De ConjuntoPróximo

Want to stay up to date on a daily basis?

Enable the mail alert feature now!