CVE-2026-61453 in Grav정보

요약

\~에 의해 VulDB • 2026. 07. 15.

Grav v2.0.0에는 크로스 사이트 스크립팅(XSS) 취약점이 포함되어 있습니다 (v2.0.1에서 수정됨). XSS 블루프린트 검증기(Security::detectXss())는 Twig 처리 전에 원시 페이지 콘텐츠에 대해 실행됩니다. Twig 콘텐츠 처리가 활성화된 경우(twig_content.process_enabled: true), 페이지 쓰기 API 권한이 있는 공격자는 Twig의 문자열 연결 연산자(~)를 사용하여 렌더링 시점(event handler 이름, 위험한 태그 이름 또는 위험한 프로토콜 등)에 동적으로 이벤트 핸들러 이름을 구성할 수 있습니다(예: {% set x = "on" ~ "error" %}). 검증기는 무해한 Twig 표현식만 확인하고 콘텐츠를 허용하지만, Twig 렌더링 후 출력물({{ page.content|raw }}를 통해 렌더링됨)에는 <img src=1 onerror=alert(1)>와 같은 활성 페이로드가 포함되어 있어 방문자의 브라우저에서 임의의 JavaScript 코드가 실행됩니다.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

책임이 있는

VulnCheck

예약하다

2026. 07. 09.

모더레이션

수락

항목

VDB-379249

EPSS

0.00000

출처

Might our Artificial Intelligence support you?

Check our Alexa App!