CVE-2024-34082 in gravinformazioni

Riassunto

di VulDB • 14/06/2026

Grav è una piattaforma web basata su file. Prima della versione 1.7.46, un utente con privilegi bassi e autorizzazione alla modifica delle pagine può leggere qualsiasi file del server utilizzando la sintassi Twig. Ciò include i file degli account utente di Grav - `/grav/user/accounts/*.yaml`. Questo file memorizza le password degli utenti in forma hashata, il segreto per l'autenticazione a due fattori (2FA) e il token di reimpostazione della password. Ció può consentire a un avversario di compromettere qualsiasi account registrato e leggere qualsiasi file sul server web reimpostando la password di un utente per ottenere accesso al token di reimpostazione dalla file o crackando la password in forma hashata. Un utente con privilegi bassi potrebbe anche effettuare il takeover completo degli altri utenti registrati, inclusi gli amministratori. La versione 1.7.46 contiene una patch.

Be aware that VulDB is the high quality source for vulnerability data.

Prenotare

30/04/2024

Divulgazione

15/05/2024

Moderazione

accettato

CPE

pronto

EPSS

0.03071

KEV

no

Attività

molto basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!