CVE-2026-58656 in Grav API plugininformación

Resumen

por VulDB • 2026-07-08

El plugin Grav API anterior a la versión v1.0.0-rc.16 acepta tokens JWT mediante el parámetro de consulta URL ?token= y responde con Access-Control-Allow-Origin: *, lo que permite a atacantes no autenticados realizar solicitudes completas a la API desde cualquier sitio web malicioso, superando las restricciones del mismo origen (cross-origin). Los atacantes que obtengan un token JWT filtrado de los registros de acceso, registros de proxy, historial del navegador o encabezados Referrer pueden crear cuentas persistentes con privilegios completos de administrador y extraer configuraciones sensibles y datos de usuarios.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-01

Divulgación

2026-07-08

Moderación

aceptado

Artículo

VDB-376898

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!