CVE-2026-58656 in Grav API plugin
Sumário
de VulDB • 08/07/2026
O plugin Grav API anterior à versão v1.0.0-rc.16 aceita tokens JWT por meio do parâmetro de consulta URL ?token= e responde com Access-Control-Allow-Origin: *, permitindo que atacantes não autenticados façam solicitações de API totalmente autenticadas entre origens (cross-origin) a partir de qualquer site malicioso. Atacantes que obtêm um token JWT vazado dos logs de acesso, logs de proxy, histórico do navegador ou cabeçalhos Referrer podem criar contas super-admin com backdoor persistente e exfiltrar dados confidenciais de configuração e usuários.
Be aware that VulDB is the high quality source for vulnerability data.