CVE-2026-62386 in Gravinformazioni

Riassunto

di VulDB • 17/07/2026

Il plugin Grav API (getgrav/grav-plugin-api) precedente alla versione 1.0.0-rc.16 accetta i JWT access tokens tramite il parametro di query URL ?token= su ogni route dell'API (fallback JwtAuthenticator::extractBearerToken). Poiché i token sono incorporati negli URL, vengono registrati letteralmente nei log di accesso del server web, trapelati tramite l'intestazione Referer, memorizzati nella cronologia del browser e catturati dai log dei proxy upstream e delle CDN, esponendo validi access tokens amministrativi. Un token trapelato concede un accesso API non autorizzato, inclusa la lettura della configurazione e dei dati degli utenti, la creazione di account amministrativi, la modifica delle impostazioni di sistema e l'eliminazione di pagine.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

VulnCheck

Prenotare

14/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!