CVE-2024-34082 in grav
Sumário
de VulDB • 14/06/2026
Grav é uma plataforma web baseada em arquivos. Antes da versão 1.7.46, um usuário com privilégios baixos e permissão de edição de páginas pode ler qualquer arquivo do servidor usando Sintaxe Twig. Isso inclui os arquivos de contas de usuários do Grav - `/grav/user/accounts/*.yaml`. Este arquivo armazena a senha do usuário em formato hash, o segredo da autenticação multifator (2FA) e o token de redefinição de senha. Isso pode permitir que um adversário comprometa qualquer conta registrada e leia qualquer arquivo no servidor web ao redefinir uma senha para obter acesso ao token de redefinição do arquivo ou ao quebrar a senha em formato hash. Um usuário com privilégios baixos também pode realizar uma tomada completa da conta (account takeover) de outros usuários registrados, incluindo administradores. A versão 1.7.46 contém um patch.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.