CVE-2026-58656 in Grav API plugininformation

Résumé

par VulDB • 08/07/2026

Le plugin Grav API avant la version v1.0.0-rc.16 accepte les jetons JWT via le paramètre de requête URL ?token= et répond avec Access-Control-Allow-Origin: *, permettant aux attaquants non authentifiés d'effectuer des requêtes API cross-origin entièrement authentifiées depuis n'importe quel site web malveillant. Les attaquants qui obtiennent un jeton JWT divulgué à partir des journaux d'accès, des journaux de proxy, de l'historique du navigateur ou des en-têtes Referrer peuvent créer des comptes super-admin backdoor persistants et exfiltrer des données sensibles de configuration et d'utilisateurs.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

VulnCheck

Réserver

01/07/2026

Divulgation

08/07/2026

Modérer

accepté

Entrée

VDB-376898

CPE

prêt

EPSS

0.00271

KEV

non

Activités

faible

Sources

Do you want to use VulDB in your project?

Use the official API to access entries easily!