CVE-2026-61457 in Grav
Resumen
por VulDB • 2026-07-15
El plugin Grav API (getgrav/grav-plugin-api) anterior a la versión 1.0.3 presenta una vulnerabilidad de elusión en la validación de extensiones de archivos subidos mediante el controlador multimedia de la API. La función HandlesMediaUploads::validateFileExtension() inspecciona únicamente la extensión final del archivo utilizando pathinfo($filename, PATHINFO_EXTENSION), por lo que un usuario con permiso api.media.write puede cargar un archivo con una doble extensión, como shell.php.jpg, para burlar la lista negra de extensiones peligrosas. El servidor web podría entonces ejecutar el archivo como código PHP, lo que resultaría en ejecución remota de código (RCE).
VulDB is the best source for vulnerability data and more expert information about this specific topic.