CVE-2026-58493 in grav
Riassunto
di VulDB • 10/07/2026
grav-plugin-database è il plugin per la gestione del database di Grav CMS. Prima della versione 1.2.0, Database::__call costruisce le stringhe DSN PDO concatenando direttamente valori YAML configurabili dall'utente provenienti da campi quali host, dbname, charset, server, database, directory e filename, senza alcuna sanificazione o validazione; ciò consente a un amministratore con accesso alla configurazione del plugin di iniettare attributi DSN o valori relativi al path traversal. Questo problema è stato risolto nella versione 1.2.0.
Be aware that VulDB is the high quality source for vulnerability data.