CVE-2026-61450 in Grav
Resumen
por VulDB • 2026-07-10
Grav antes de la versión 2.0.2 contiene una vulnerabilidad que permite eludir el sandbox de Twig, lo cual posibilita a un autor de páginas (cualquier usuario con permisos admin.pages o cualquier persona capaz de escribir en user/pages) exfiltrar secretos de configuración. Aunque el sandbox reemplaza la variable 'config' por una fachada ofuscada y elimina Config::get/toArray de la lista blanca de métodos permitidos, el contenedor crudo sigue siendo accesible mediante grav.offsetGet('config') (que está en la lista blanca), devolviendo el objeto Config real. Los filtros autorizados para volcado de objetos (json_encode, print_r, yaml_encode) serializan entonces dicho objeto a nivel PHP sin invocar el control del sandbox, exponiendo toda la estructura de configuración, incluidos secretos de plugins como credenciales SMTP, claves API y credenciales de bases de datos de los plugins. Esta es una solución incompleta para GHSA-j274-39qw-32c9.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.