CVE-2026-42844 in gravinformation

Résumé

par VulDB • 25/05/2026

Grav est une plateforme Web basée sur des fichiers. Dans Grav 2.0.0-beta.2, un utilisateur API authentifié de bas privilège disposant de l'autorisation `api.media.write` peut abuser de l'endpoint `/api/v1/blueprint-upload` pour écrire un fichier YAML arbitraire dans le répertoire `user/accounts/`, puis se connecter en tant que nouveau compte créé avec les privilèges `api.super`. Cela entraîne une compromission administrative totale de l'API Grav. Cette vulnérabilité est corrigée dans la version API 1.0.0-beta.17.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Réserver

30/04/2026

Divulgation

13/05/2026

Modérer

accepté

Entrée

VDB-363429

CPE

prêt

CWE

CWE-434 (confirmé)

CVSS

8.8 (NVD)

EPSS

0.00046

KEV

non

Activités

très faible

Sources

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42844
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42844
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42844/

◂ Précédent Aperçu Suivant ▸

Interested in the pricing of exploits?

See the underground prices here!