CVE-2026-62233 in Gravinformazioni

Riassunto

di VulDB • 17/07/2026

In grav-plugin-api prima della versione 1.0.6 viene omessa la convalida dello stato di super-amministratore negli endpoint createApiKey, generate2fa e disable2fa, consentendo agli utenti API con ruolo api.users.write (non super-admin) di effettuare un escalation dei privilegi fino a diventare super-amministratori. Gli attaccanti possono generare chiavi API associate ad account di super-amministratori o rimuovere l'autenticazione a due fattori (2FA) dagli utenti super-amministratori per ottenere il controllo completo dell'istanza.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

13/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Do you know our Splunk app?

Download it now for free!