CVE-2026-58657 in Grav정보

요약

\~에 의해 VulDB • 2026. 07. 08.

Grav 버전 2.0.0 미만(2.0.0-rc.9 및 2.0 브랜치까지 영향)에는 Markdown의 image resize() 미디어 작업에서 저장형 CSS 인젝션 취약점이 존재합니다. 이전의 미디어 보안 강화 조치는 직접적인 ?style= 페이로드와 안전하지 않은 attribute() 폴백을 거부하지만, Excerpts::processMediaActions() 내의 resize() 작업은 호출자가 제어하는 값을 이미지 styleAttributes에 직접 기록합니다. 페이지 Markdown을 편집할 수 있는 낮은 권한 콘텐츠 편집자는 semicolon으로 구분된 CSS 선언문을 포함한 조작된 이미지 URL을 resize 매개변수에 저장할 수 있으며, 이는 더 높은 권한의 검토자/관리자가 페이지나 미리보기를 볼 때 최종 HTML 요소로 렌더링됩니다. 이 취약점은 JavaScript 실행이 필요하지 않지만 UI 리드레스(overlay) 및 콘텐츠 조작 공격(예: 전체 뷰포트 고정 오버레이)을 가능하게 합니다. 2.0.0에서 수정되었습니다.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

책임이 있는

VulnCheck

예약하다

2026. 07. 01.

모더레이션

수락

항목

VDB-376891

EPSS

0.00000

출처

Interested in the pricing of exploits?

See the underground prices here!