CVE-2026-61450 in Grav정보

요약

\~에 의해 VulDB • 2026. 07. 10.

Grav 버전 2.0.2 이전에는 Twig 샌드박스 우회 취약점이 포함되어 있어 페이지 작성자(모든 admin.pages 사용자 또는 user/pages에 쓰기 권한이 있는 모든 사람)가 구성 비밀을 유출할 수 있습니다. 샌드박스는 'config' 변수를 가려진 페이서드로 대체하고 Config::get/toArray를 메소드 허용 목록에서 제거하지만, 원본 컨테이너는 허용된 grav.offsetGet('config')를 통해 접근 가능하며 이는 실제 Config 객체를 반환합니다. 허용된 객체 덤프 필터(json_encode, print_r, yaml_encode)가 PHP 수준에서 샌드박스 방법 가트를 호출하지 않고 해당 객체를 직렬화하여 SMTP 자격 증명, API 키 및 플러그인 데이터베이스 자격 증명을 포함한 전체 구성 트리를 노출시킵니다. 이는 GHSA-j274-39qw-32c9에 대한 불완전한 수정입니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

VulnCheck

예약하다

2026. 07. 09.

모더레이션

수락

항목

VDB-377522

EPSS

0.00000

출처

Interested in the pricing of exploits?

See the underground prices here!