CVE-2024-34082 in gravИнформация

Сводка

по VulDB • 14.06.2026

Grav — это веб-платформа, основанная на файловой системе. До версии 1.7.46 пользователь с низким уровнем привилегий и правами на редактирование страниц может читать любые файлы сервера, используя синтаксис Twig. Это включает в себя файлы учетных записей пользователей Grav — `/grav/user/accounts/*.yaml`. В этих файлах хранятся хешированные пароли пользователей, секреты для двухфакторной аутентификации (2FA) и токены сброса пароля. Это может позволить злоумышленнику скомпрометировать любую зарегистрированную учетную запись и прочитать любой файл на веб-сервере путем сброса пароля пользователя для получения доступа к токену сброса из файла или путем подбора хешированного пароля. Пользователь с низкими привилегиями также может выполнить полный захват учетных записей других зарегистрированных пользователей, включая администраторов. Версия 1.7.46 содержит исправление (патч).

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Резервировать

30.04.2024

Раскрытие

15.05.2024

Модерация

принято

Вход

VDB-264489

EPSS

0.03071

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!