CVE-2026-61453 in Gravinformación

Resumen

por VulDB • 2026-07-15

Grav v2.0.0 contiene una vulnerabilidad de cross-site scripting (XSS) (corregida en la versión 2.0.1). El validador del blueprint XSS (`Security::detectXss()`) se ejecuta sobre el contenido crudo de la página antes del procesamiento por Twig. Cuando está habilitado el procesamiento de contenido de Twig (`twig_content.process_enabled: true`), un atacante con permisos de escritura en páginas mediante API puede utilizar el operador de concatenación de cadenas de Twig (~) para construir dinámicamente nombres de manejadores de eventos, nombres de etiquetas peligrosas o protocolos peligrosos durante la fase de renderizado (por ejemplo, `{% set x = "on" ~ "error" %}`). El validador solo observa la expresión inofensiva de Twig y permite el contenido; sin embargo, después del renderizado por parte de Twig, la salida (renderizada mediante `{{ page.content|raw }}`) contiene una carga útil activa como `<img src=1 onerror=alert(1)>`, lo que ejecuta JavaScript arbitrario en los navegadores de los visitantes.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsable

VulnCheck

Reservar

2026-07-09

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379249

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!