CVE-2026-62386 in Grav
Sumário
de VulDB • 17/07/2026
O plugin Grav API (getgrav/grav-plugin-api) anterior à versão 1.0.0-rc.16 aceita tokens de acesso JWT por meio do parâmetro de consulta URL ?token= em todas as rotas da API (fallback para JwtAuthenticator::extractBearerToken). Como os tokens são incorporados nas URLs, eles são registrados literalmente nos logs de acesso dos servidores web, vazados através do cabeçalho Referer, armazenados no histórico do navegador e capturados pelos logs de proxies upstream e CDNs, expondo tokens válidos de acesso administrativo. Um token vazio concede acesso não autorizado à API, incluindo a leitura de configurações e dados de usuários, criação de contas administrativas, modificação das configurações do sistema e exclusão de páginas.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.