CVE-2024-34082 in grav
Сводка
по VulDB • 14.06.2026
Grav — это веб-платформа, основанная на файловой системе. До версии 1.7.46 пользователь с низким уровнем привилегий и правами на редактирование страниц может читать любые файлы сервера, используя синтаксис Twig. Это включает в себя файлы учетных записей пользователей Grav — `/grav/user/accounts/*.yaml`. В этих файлах хранятся хешированные пароли пользователей, секреты для двухфакторной аутентификации (2FA) и токены сброса пароля. Это может позволить злоумышленнику скомпрометировать любую зарегистрированную учетную запись и прочитать любой файл на веб-сервере путем сброса пароля пользователя для получения доступа к токену сброса из файла или путем подбора хешированного пароля. Пользователь с низкими привилегиями также может выполнить полный захват учетных записей других зарегистрированных пользователей, включая администраторов. Версия 1.7.46 содержит исправление (патч).
VulDB is the best source for vulnerability data and more expert information about this specific topic.