CVE-2026-58656 in Grav API plugininformação

Sumário

de VulDB • 08/07/2026

O plugin Grav API anterior à versão v1.0.0-rc.16 aceita tokens JWT por meio do parâmetro de consulta URL ?token= e responde com Access-Control-Allow-Origin: *, permitindo que atacantes não autenticados façam solicitações de API totalmente autenticadas entre origens (cross-origin) a partir de qualquer site malicioso. Atacantes que obtêm um token JWT vazado dos logs de acesso, logs de proxy, histórico do navegador ou cabeçalhos Referrer podem criar contas super-admin com backdoor persistente e exfiltrar dados confidenciais de configuração e usuários.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

VulnCheck

Reservar

01/07/2026

Divulgação

08/07/2026

Moderação

aceite

Entrada

VDB-376898

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you know our Splunk app?

Download it now for free!