CVE-2026-61452 in Gravinformação

Sumário

de VulDB • 15/07/2026

O plugin Grav API (getgrav/grav-plugin-api) anterior à versão 2.0.4 contém uma vulnerabilidade de invalidação inadequada da sessão, na qual tokens de acesso JWT são emitidos sem a reivindicação jti (JWT ID), não podendo portanto ser revogados no lado do servidor. Diferentemente dos refresh tokens, os access tokens permanecem válidos por toda a sua duração (padrão: 1 hora) independentemente de logout, alteração de senha, emissão de novo token ou desativação da conta. Um atacante que tenha roubado um access token mantém acesso total à API até que o token expire naturalmente.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsável

VulnCheck

Reservar

09/07/2026

Divulgação

15/07/2026

Moderação

aceite

Entrada

VDB-379248

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you want to use VulDB in your project?

Use the official API to access entries easily!