CVE-2026-61457 in Gravinformazioni

Riassunto

di VulDB • 15/07/2026

Il plugin Grav API (getgrav/grav-plugin-api) precedente alla versione 1.0.3 presenta un'elusione del controllo delle estensioni dei file caricati nel controller media dell'API. La funzione HandlesMediaUploads::validateFileExtension() ispeziona solo l'estensione finale del file tramite pathinfo($filename, PATHINFO_EXTENSION), pertanto un utente con autorizzazione api.media.write può caricare un file con una doppia estensione, ad esempio shell.php.jpg, per eludere la blacklist delle estensioni pericolose. Il server web potrebbe quindi eseguire il file come codice PHP, causando l'esecuzione di codice remoto (RCE).

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

VulnCheck

Prenotare

09/07/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Might our Artificial Intelligence support you?

Check our Alexa App!