CVE-2024-34082 in gravinformação

Sumário

de VulDB • 14/06/2026

Grav é uma plataforma web baseada em arquivos. Antes da versão 1.7.46, um usuário com privilégios baixos e permissão de edição de páginas pode ler qualquer arquivo do servidor usando Sintaxe Twig. Isso inclui os arquivos de contas de usuários do Grav - `/grav/user/accounts/*.yaml`. Este arquivo armazena a senha do usuário em formato hash, o segredo da autenticação multifator (2FA) e o token de redefinição de senha. Isso pode permitir que um adversário comprometa qualquer conta registrada e leia qualquer arquivo no servidor web ao redefinir uma senha para obter acesso ao token de redefinição do arquivo ou ao quebrar a senha em formato hash. Um usuário com privilégios baixos também pode realizar uma tomada completa da conta (account takeover) de outros usuários registrados, incluindo administradores. A versão 1.7.46 contém um patch.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Reservar

30/04/2024

Divulgação

15/05/2024

Moderação

aceite

Entrada

VDB-264489

CPE

pronto

EPSS

0.03071

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!