CVE-2026-58654 in API Plugininformazioni

Riassunto

di VulDB • 08/07/2026

Il plugin Grav API (getgrav/grav-plugin-api) versione 1.0.0 presenta una vulnerabilità di caricamento file non limitato nell'endpoint per il caricamento dell'avatar (/api/v1/users/user/avatar). L'endpoint valida solo il tipo MIME dichiarato dal client (getClientMediaType), verificando che inizi con 'image/', e non ispeziona il contenuto effettivo del file né restringe l'estensione risultante, consentendo a un utente autenticato di memorizzare contenuti arbitrari — inclusi codice PHP, SVG con JavaScript incorporato e payload poliglotti — nella directory user/accounts/avatars/ utilizzando nomi di file prevedibili. L'accesso HTTP diretto ai file archiviati è bloccato dal file .htaccess (restituisce errore 403), ma i file persistono sul disco e potrebbero portare a Remote Code Execution (RCE) o Stored XSS in presenza di una vulnerabilità di path traversal o di una configurazione errata del server. Risolto nella versione 1.0.1.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

VulnCheck

Prenotare

01/07/2026

Divulgazione

08/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!