CVE-2026-61457 in Gravinformación

Resumen

por VulDB • 2026-07-15

El plugin Grav API (getgrav/grav-plugin-api) anterior a la versión 1.0.3 presenta una vulnerabilidad de elusión en la validación de extensiones de archivos subidos mediante el controlador multimedia de la API. La función HandlesMediaUploads::validateFileExtension() inspecciona únicamente la extensión final del archivo utilizando pathinfo($filename, PATHINFO_EXTENSION), por lo que un usuario con permiso api.media.write puede cargar un archivo con una doble extensión, como shell.php.jpg, para burlar la lista negra de extensiones peligrosas. El servidor web podría entonces ejecutar el archivo como código PHP, lo que resultaría en ejecución remota de código (RCE).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsable

VulnCheck

Reservar

2026-07-09

Divulgación

2026-07-15

Moderación

aceptado

Artículo

VDB-379242

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!