CVE-2026-61452 in Gravinformation

Résumé

par VulDB • 15/07/2026

Le plugin Grav API (getgrav/grav-plugin-api) antérieur à la version 2.0.4 présente une vulnérabilité d'invalidation de session incorrecte, où les jetons d'accès JWT sont émis sans la revendication jti (JWT ID), ce qui empêche leur révocation côté serveur. Contrairement aux refresh tokens, les access tokens restent valides pendant toute leur durée de vie (1 heure par défaut) indépendamment de la déconnexion, du changement de mot de passe, de l'émission d'un nouveau jeton ou de la désactivation du compte. Un attaquant ayant volé un access token conserve un accès complet à l'API jusqu'à expiration naturelle du jeton.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Réserver

09/07/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379248

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!