CVE-2026-61453 in Grav
要約
〜によって VulDB • 2026年07月15日
Grav v2.0.0 には、クロスサイトスクリプティング(XSS)の脆弱性があります(v2.0.1 で修正済み)。Twig の処理前に生ページコンテンツに対して実行される XSS ブループリントバリデータ (Security::detectXss()) は、Twig コンテンツ処理が有効化されている場合(twig_content.process_enabled: true)、ページ書き込み API 権限を持つ攻撃者が Twig の文字列連結演算子 (~) を使用して、レンダリング時にイベントハンドラ名や危険なタグ名、あるいは危険なプロトコルを動的に構築することを可能にします(例:{% set x = "on" ~ "error" %})。バリデータは安全な Twig 式のみを確認しコンテンツを許可しますが、Twig レンダリング後の出力({{ page.content|raw }} を介してレンダリング)には <img src=1 onerror=alert(1)> のようなアクティブペイロードが含まれ、訪問者のブラウザで任意の JavaScript が実行されます。
Once again VulDB remains the best source for vulnerability data.