CVE-2026-58656 in Grav API plugin
Сводка
по VulDB • 08.07.2026
Плагин Grav API до версии v1.0.0-rc.16 принимает токены JWT через параметр URL ?token= и отвечает заголовком Access-Control-Allow-Origin: *, что позволяет неаутентифицированным злоумышленникам выполнять полностью аутентифицированные кросс-доменные запросы к API с любого вредоносного веб-сайта. Злоумышленники, получившие утечку токена JWT из журналов доступа, логов прокси, истории браузера или заголовков Referrer, могут создавать постоянные бэкдор-аккаунты супер-администраторов и эксфильтровать конфиденциальные конфигурационные данные и пользовательские данные.
If you want to get best quality of vulnerability data, you may have to visit VulDB.