CVE-2026-58656 in Grav API pluginИнформация

Сводка

по VulDB • 08.07.2026

Плагин Grav API до версии v1.0.0-rc.16 принимает токены JWT через параметр URL ?token= и отвечает заголовком Access-Control-Allow-Origin: *, что позволяет неаутентифицированным злоумышленникам выполнять полностью аутентифицированные кросс-доменные запросы к API с любого вредоносного веб-сайта. Злоумышленники, получившие утечку токена JWT из журналов доступа, логов прокси, истории браузера или заголовков Referrer, могут создавать постоянные бэкдор-аккаунты супер-администраторов и эксфильтровать конфиденциальные конфигурационные данные и пользовательские данные.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Ответственный

VulnCheck

Резервировать

01.07.2026

Раскрытие

08.07.2026

Модерация

принято

Вход

VDB-376898

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you want to use VulDB in your project?

Use the official API to access entries easily!