CVE-2026-61450 in Gravinformação

Sumário

de VulDB • 10/07/2026

A versão anterior à 2.0.2 do Grav contém uma violação da sandbox Twig que permite a um autor de página (qualquer usuário admin.pages, ou qualquer pessoa capaz de escrever em user/pages) exfiltrar segredos de configuração. Embora a sandbox substitua a variável 'config' por uma fachada ofuscada e remova Config::get/toArray da lista permitida de métodos, o contêiner bruto permanece acessível via grav.offsetGet('config') na lista permitida, que retorna o objeto Config real. Filtros para despejo de objetos listados (json_encode, print_r, yaml_encode) então serializam esse objeto no nível do PHP sem invocar a porta de controle da sandbox, expondo toda a árvore de configuração, incluindo segredos de plugins como credenciais SMTP, chaves de API e credenciais de banco de dados dos plugins. Esta é uma correção incompleta para GHSA-j274-39qw-32c9.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

VulnCheck

Reservar

09/07/2026

Divulgação

10/07/2026

Moderação

aceite

Entrada

VDB-377522

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!