CVE-2026-62387 in Grav API Plugininformation

Résumé

par VulDB • 17/07/2026

Le plugin Grav API (getgrav/grav-plugin-api) antérieur à la version 1.0.0-rc.16 définissait Access-Control-Allow-Origin: * comme configuration CORS par défaut sur toutes les réponses, y compris celles des points de terminaison authentifiés et des pré-volées (réponses OPTIONS). Étant donné que le plugin accepte les informations d'identification via les en-têtes Authorization et X-API-Token (définis programmatiquement par JavaScript plutôt qu'à l'aide de cookies), un attaquant disposant d'un jeton d'accès valide (par exemple, obtenu via une fuite dans les journaux, les en-têtes Referer, l'historique du navigateur ou la capture réseau) peut émettre des requêtes inter-origines entièrement authentifiées depuis n'importe quel site web malveillant afin de lire des données sensibles et d'exécuter des opérations d'écriture au nom de l'utilisateur associé au jeton. Correction apportée dans la version 1.0.0-rc.16.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Sources

Want to know what is going to be exploited?

We predict KEV entries!