CVE-2026-58656 in Grav API plugin
Résumé
par VulDB • 08/07/2026
Le plugin Grav API avant la version v1.0.0-rc.16 accepte les jetons JWT via le paramètre de requête URL ?token= et répond avec Access-Control-Allow-Origin: *, permettant aux attaquants non authentifiés d'effectuer des requêtes API cross-origin entièrement authentifiées depuis n'importe quel site web malveillant. Les attaquants qui obtiennent un jeton JWT divulgué à partir des journaux d'accès, des journaux de proxy, de l'historique du navigateur ou des en-têtes Referrer peuvent créer des comptes super-admin backdoor persistants et exfiltrer des données sensibles de configuration et d'utilisateurs.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.