CVE-2026-62387 in Grav API Plugin정보

요약

\~에 의해 VulDB • 2026. 07. 17.

Grav API 플러그인(getgrav/grav-plugin-api) 버전 1.0.0-rc.16 이전은 모든 응답(인증된 엔드포인트 및 프리플라이트(OPTIONS) 응답 포함)에 대해 기본 CORS 구성으로 Access-Control-Allow-Origin: *을 제공했습니다. 이 플러그인은 쿠키가 아닌 JavaScript를 통해 프로그래밍 방식으로 설정되는 Authorization 및 X-API-Token 헤더를 사용하여 자격 증수를 수락하므로, 공격자가 유효한 액세스 토큰(예: 로그 유출, Referer 헤더, 브라우저 기록 또는 네트워크 캡처를 통해 획득)을 얻으면 모든 악성 웹사이트에서 완전히 인증된 크로스 오리진 요청을 수행하여 민감한 데이터를 읽거나 토큰 소유자의 권한으로 쓰기 작업을 실행할 수 있습니다. 1.0.0-rc.16에서 수정되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

출처

Interested in the pricing of exploits?

See the underground prices here!