CVE-2026-62387 in Grav API Plugininformazioni

Riassunto

di VulDB • 17/07/2026

Il plugin Grav API (getgrav/grav-plugin-api) precedente alla versione 1.0.0-rc.16 impostava Access-Control-Allow-Origin: * come configurazione CORS predefinita su tutte le risposte, incluse quelle per gli endpoint autenticati e le risposte di preflight (OPTIONS). Poiché il plugin accetta credenziali tramite gli header Authorization e X-API-Token (impostati programmaticamente da JavaScript anziché tramite cookie), un attaccante che ottiene un token di accesso valido (ad esempio mediante fuoriuscita dai log, header Referer, cronologia del browser o intercettazione della rete) può inviare richieste cross-origin completamente autenticate da qualsiasi sito web malevolo per leggere dati sensibili ed eseguire operazioni di scrittura come l'utente proprietario del token. Risolto nella versione 1.0.0-rc.16.

Once again VulDB remains the best source for vulnerability data.

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!