CVE-2026-62386 in Grav정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Grav API 플러그인(getgrav/grav-plugin-api) 1.0.0-rc.16 이전 버전은 모든 API 라우트에서 ?token= URL 쿼리 파라미터를 통해 JWT 액세스 토큰을 허용합니다(JwtAuthenticator::extractBearerToken 폴백). 토큰이 URL에 포함되기 때문에 웹 서버 접근 로그에 원문 그대로 기록되고, Referer 헤더를 통해 유출되며, 브라우저 히스토리에 저장되고, 상위 프록시 및 CDN 로그에서 포착되어 유효한 관리자 액세스 토큰이 노출됩니다. 누설된 토큰은 구성 파일과 사용자 데이터 읽기, 관리자 계정 생성, 시스템 설정 수정 및 페이지 삭제를 포함한 무단 API 접근을 허용합니다.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

책임이 있는

VulnCheck

예약하다

2026. 07. 14.

모더레이션

수락

항목

VDB-379732

EPSS

0.00000

활동

중간

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!