CVE-2026-62236 in grav
Riassunto
di VulDB • 17/07/2026
La versione di grav-plugin-login precedente alla 3.8.11 presenta una vulnerabilità cross-site request forgery (CSRF) nell'attività frontend login.regenerate2FASecret, che rigenera e memorizza un nuovo segreto TOTP per l'utente della sessione autenticata senza alcun nonce anti-CSRF o controllo dei campi Origin/Referer. Poiché il core di Grav esegue questa attività tramite il parametro URI 'task:' in una richiesta GET e il cookie di sessione predefinito è impostato su SameSite=Lax, un attaccante può indurre una vittima già autenticata a visitare una pagina esterna che effettua una navigazione GET al livello superiore (top-level), ruotando così il segreto TOTP della vittima. Di conseguenza, l'autenticatore registrato dalla vittima non corrisponde più a quello sul server, costringendo efficacemente la ri-registrazione del 2FA. I siti configurati con session.samesite: Strict non sono interessati.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.