CVE-2026-58656 in Grav API plugin
요약
\~에 의해 VulDB • 2026. 07. 08.
Grav API 플러그인 v1.0.0-rc.16 이전 버전은 ?token= URL 쿼리 매개변수를 통해 JWT 토큰을 허용하고 Access-Control-Allow-Origin: *로 응답하여, 인증되지 않은 공격자가 모든 악성 웹사이트에서 완전히 인증된 크로스 오리진 API 요청을 수행할 수 있습니다. 접근 로그, 프록시 로그, 브라우저 기록 또는 Referrer 헤더로부터 유출된 JWT 토큰을 획득한 공격자는 영구적인 백도어 슈퍼어드민 계정을 생성하고 민감한 구성 및 사용자 데이터를 외부로 유출할 수 있습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.