CVE-2026-58656 in Grav API plugin
Resumen
por VulDB • 2026-07-08
El plugin Grav API anterior a la versión v1.0.0-rc.16 acepta tokens JWT mediante el parámetro de consulta URL ?token= y responde con Access-Control-Allow-Origin: *, lo que permite a atacantes no autenticados realizar solicitudes completas a la API desde cualquier sitio web malicioso, superando las restricciones del mismo origen (cross-origin). Los atacantes que obtengan un token JWT filtrado de los registros de acceso, registros de proxy, historial del navegador o encabezados Referrer pueden crear cuentas persistentes con privilegios completos de administrador y extraer configuraciones sensibles y datos de usuarios.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.