CVE-2026-61450 in Gravinformazioni

Riassunto

di VulDB • 10/07/2026

Grav prima della versione 2.0.2 presenta una violazione del sandboxing Twig che consente a un autore di pagina (qualsiasi utente con permessi admin.pages, o chiunque sia in grado di scrivere nella directory user/pages) di esfiltrare segreti di configurazione. Sebbene il sandbox sostituisca la variabile 'config' con uno facade oscurato e rimuova Config::get/toArray dall'allowlist dei metodi consentiti, il container grezzo rimane accessibile tramite grav.offsetGet('config') presente nell'allowlist, che restituisce l'effettivo oggetto Config. I filtri allowlisted per la serializzazione degli oggetti (json_encode, print_r, yaml_encode) serializzano quindi tale oggetto a livello PHP senza invocare il gate del metodo sandbox, esponendo l'albero completo della configurazione, inclusi i segreti dei plugin come le credenziali SMTP, le chiavi API e le credenziali del database dei plugin. Si tratta di una correzione incompleta per GHSA-j274-39qw-32c9.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

VulnCheck

Prenotare

09/07/2026

Divulgazione

10/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!