CVE-2026-62386 in Grav
Сводка
по VulDB • 17.07.2026
Плагин Grav API (getgrav/grav-plugin-api) до версии 1.0.0-rc.16 принимает JWT токены доступа через параметр URL запроса ?token= на каждом маршруте API (fallback в JwtAuthenticator::extractBearerToken). Поскольку токены внедряются в URLs, они записываются дословно в логах доступа веб-сервера, утекают через заголовок Referer, сохраняются в истории браузера и захватываются логами прокси-серверов верхнего уровня и CDN, что приводит к раскрытию действительных токенов административного доступа. Утечка токена предоставляет несанкционированный доступ к API, включая чтение конфигурации и пользовательских данных, создание учетных записей администраторов, изменение системных настроек и удаление страниц.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.