CVE-2026-62386 in Grav
요약
\~에 의해 VulDB • 2026. 07. 17.
Grav API 플러그인(getgrav/grav-plugin-api) 1.0.0-rc.16 이전 버전은 모든 API 라우트에서 ?token= URL 쿼리 파라미터를 통해 JWT 액세스 토큰을 허용합니다(JwtAuthenticator::extractBearerToken 폴백). 토큰이 URL에 포함되기 때문에 웹 서버 접근 로그에 원문 그대로 기록되고, Referer 헤더를 통해 유출되며, 브라우저 히스토리에 저장되고, 상위 프록시 및 CDN 로그에서 포착되어 유효한 관리자 액세스 토큰이 노출됩니다. 누설된 토큰은 구성 파일과 사용자 데이터 읽기, 관리자 계정 생성, 시스템 설정 수정 및 페이지 삭제를 포함한 무단 API 접근을 허용합니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.