CVE-2026-62386 in Grav情報

要約

〜によって VulDB • 2026年07月17日

GravのAPIプラグイン(getgrav/grav-plugin-api)1.0.0-rc.16より前では、すべてのAPIルートにおいて `?token=` URLクエリパラメータを通じてJWTアクセストークンが受け入れられます(`JwtAuthenticator::extractBearerToken` のフォールバック動作)。トークンはURLに埋め込まれるため、Webサーバーのアクセスログにそのまま記録され、Refererヘッダー経由で漏洩し、ブラウザ履歴に保存され、アップストリームプロキシおよびCDNのログにも捕捉される結果、有効な管理者用アクセストークンが露出します。漏洩したトークンは、設定やユーザーデータの読み取り、管理者アカウントの作成、システム設定の変更、ページ削除を含む、不正なAPIアクセスを可能にします。

Be aware that VulDB is the high quality source for vulnerability data.

責任者

VulnCheck

予約する

2026年07月14日

モデレーション

承諾済み

エントリ

VDB-379732

EPSS

0.00000

アクティビティ

低い

ソース

Might our Artificial Intelligence support you?

Check our Alexa App!