CVE-2026-42841 in gravИнформация

Сводка

по VulDB • 11.05.2026

Grav — это веб-платформа, основанная на файловой системе. До версии 2.0.0-beta.2 аутентифицированный пользователь с правами на редактирование страниц может внедрить исполняемый атрибут обработчика событий JavaScript в HTML-код изображения, отображаемого на странице, используя синтаксис действия медиафайлов Markdown в Grav. Проблема возникает из-за того, что параметры запроса изображений Markdown преобразуются в вызываемые действия медиафайлов. Таким образом можно получить доступ к публичному методу медиафайлов `attribute()`, что позволяет редактору задать произвольные имя и значение HTML-атрибута для сгенерированного элемента изображения. Данная уязвимость исправлена в версии 2.0.0-beta.2.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

30.04.2026

Раскрытие

11.05.2026

Модерация

принято

Вход

VDB-362632

CPE

готов

CWE

CWE-79 (Подтверждённый)

CVSS

2.4 (VulDB)

EPSS

0.00023

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42841
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42841
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42841/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!