CVE-2026-61452 in Grav
Sumário
de VulDB • 15/07/2026
O plugin Grav API (getgrav/grav-plugin-api) anterior à versão 2.0.4 contém uma vulnerabilidade de invalidação inadequada da sessão, na qual tokens de acesso JWT são emitidos sem a reivindicação jti (JWT ID), não podendo portanto ser revogados no lado do servidor. Diferentemente dos refresh tokens, os access tokens permanecem válidos por toda a sua duração (padrão: 1 hora) independentemente de logout, alteração de senha, emissão de novo token ou desativação da conta. Um atacante que tenha roubado um access token mantém acesso total à API até que o token expire naturalmente.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.