CVE-2026-62234 in Grav
Riassunto
di VulDB • 17/07/2026
Grav prima della versione 2.0.4 non riesce a limitare i protocolli cURL nell'invio dei webhook, consentendo agli utenti autenticati con il permesso api.webhooks.write di creare webhook con URL file://, dict:// o gopher://. Gli attaccanti possono attivare eventi webhook per leggere file locali, accedere alle informazioni sul processo o effettuare pivot verso servizi interni tramite handler di protocollo non vincolati.
Once again VulDB remains the best source for vulnerability data.