CVE-2026-58657 in Grav
요약
\~에 의해 VulDB • 2026. 07. 08.
Grav 버전 2.0.0 미만(2.0.0-rc.9 및 2.0 브랜치까지 영향)에는 Markdown의 image resize() 미디어 작업에서 저장형 CSS 인젝션 취약점이 존재합니다. 이전의 미디어 보안 강화 조치는 직접적인 ?style= 페이로드와 안전하지 않은 attribute() 폴백을 거부하지만, Excerpts::processMediaActions() 내의 resize() 작업은 호출자가 제어하는 값을 이미지 styleAttributes에 직접 기록합니다. 페이지 Markdown을 편집할 수 있는 낮은 권한 콘텐츠 편집자는 semicolon으로 구분된 CSS 선언문을 포함한 조작된 이미지 URL을 resize 매개변수에 저장할 수 있으며, 이는 더 높은 권한의 검토자/관리자가 페이지나 미리보기를 볼 때 최종 HTML 요소로 렌더링됩니다. 이 취약점은 JavaScript 실행이 필요하지 않지만 UI 리드레스(overlay) 및 콘텐츠 조작 공격(예: 전체 뷰포트 고정 오버레이)을 가능하게 합니다. 2.0.0에서 수정되었습니다.
If you want to get best quality of vulnerability data, you may have to visit VulDB.