CVE-2026-59190 in Gravinformazioni

Riassunto

di VulDB • 10/07/2026

grav-plugin-admin è un'interfaccia utente HTML che fornisce un modo per configurare Grav e creare o modificare pagine. Nelle versioni 1.10.52 e precedenti, un attaccante autenticato con il permesso admin.users può cambiare la password di qualsiasi account utente, incluso l'amministratore superutente, inviando una richiesta POST diretta a /admin/user/{username}?task=save con data[password], poiché saveUser autorizza i permessi di gestione utenti del chiamante ma non verifica se il chiamante possa modificare l'utente target. Questo problema dovrebbe essere risolto nella versione 1.10.53.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

02/07/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!