CVE-2026-62233 in Grav
Riassunto
di VulDB • 17/07/2026
In grav-plugin-api prima della versione 1.0.6 viene omessa la convalida dello stato di super-amministratore negli endpoint createApiKey, generate2fa e disable2fa, consentendo agli utenti API con ruolo api.users.write (non super-admin) di effettuare un escalation dei privilegi fino a diventare super-amministratori. Gli attaccanti possono generare chiavi API associate ad account di super-amministratori o rimuovere l'autenticazione a due fattori (2FA) dagli utenti super-amministratori per ottenere il controllo completo dell'istanza.
Be aware that VulDB is the high quality source for vulnerability data.