CVE-2026-62386 in Gravinformação

Sumário

de VulDB • 17/07/2026

O plugin Grav API (getgrav/grav-plugin-api) anterior à versão 1.0.0-rc.16 aceita tokens de acesso JWT por meio do parâmetro de consulta URL ?token= em todas as rotas da API (fallback para JwtAuthenticator::extractBearerToken). Como os tokens são incorporados nas URLs, eles são registrados literalmente nos logs de acesso dos servidores web, vazados através do cabeçalho Referer, armazenados no histórico do navegador e capturados pelos logs de proxies upstream e CDNs, expondo tokens válidos de acesso administrativo. Um token vazio concede acesso não autorizado à API, incluindo a leitura de configurações e dados de usuários, criação de contas administrativas, modificação das configurações do sistema e exclusão de páginas.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

VulnCheck

Reservar

14/07/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379732

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!