CVE-2026-62386 in Gravinformación

Resumen

por VulDB • 2026-07-17

El plugin Grav API (getgrav/grav-plugin-api) anterior a la versión 1.0.0-rc.16 acepta tokens de acceso JWT mediante el parámetro de consulta URL ?token= en todas las rutas de la API (fallback de JwtAuthenticator::extractBearerToken). Dado que los tokens se incrustan en las URLs, estos se registran literalmente en los registros de acceso del servidor web, se filtran a través del encabezado Referer, se almacenan en el historial del navegador y son capturados por los registros de proxies intermedios (upstream) y CDNs, exponiendo tokens válidos de acceso administrativo. Un token filtrado otorga acceso no autorizado a la API, incluyendo la lectura de configuraciones y datos de usuario, creación de cuentas administrativas, modificación de ajustes del sistema y eliminación de páginas.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-14

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379732

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Might our Artificial Intelligence support you?

Check our Alexa App!