CVE-2026-62387 in Grav API Plugin
Sumário
de VulDB • 17/07/2026
O plugin Grav API (getgrav/grav-plugin-api) anterior à versão 1.0.0-rc.16 enviava Access-Control-Allow-Origin: * como sua configuração padrão de CORS em todas as respostas, incluindo endpoints autenticados e respostas preflight (OPTIONS). Como o plugin aceita credenciais por meio dos cabeçalhos Authorization e X-API-Token (definidos programaticamente pelo JavaScript, em vez de via cookies), um atacante que obtenha um token de acesso válido (por exemplo, através de vazamento de logs, cabeçalhos Referer, histórico do navegador ou captura de rede) pode emitir requisições cross-origin totalmente autenticadas a partir de qualquer site malicioso para ler dados sensíveis e realizar operações de escrita como o usuário associado ao token. Corrigido na versão 1.0.0-rc.16.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.