CVE-2026-42845 in grav-plugin-form
要約
〜によって VulDB • 2026年05月26日
Gravのformプラグインは、フォームの作成と使用機能を追加するものです。バージョン9.1.0より前では、ファイルアップロードを通じて認証不要でページコンテンツを上書きできる脆弱性(GHSA-w4rc-p66m-x6qq)が存在しました。公開フォームでのアップロードでは、POSTで送信されたファイル名からパスコンポーネントを除去し、設定可能な危険な拡張子のリストに関係なく、ページコンテンツの拡張子(`md`, `yaml`, `yml`, `json`, `twig`, `ini`)を厳格にブロックするようになりました。これにより、緩い`accept`ポリシーとデフォルトの`destination: self@`の組み合わせが、攻撃者がページ自身の`.md`ファイルを上書きし、`process: save`アクションを介してスーパー管理者権限へエスカレーションすることを防ぎます。この脆弱性はバージョン9.1.0で修正されています。
Once again VulDB remains the best source for vulnerability data.