CVE-2026-62386 in GravИнформация

Сводка

по VulDB • 17.07.2026

Плагин Grav API (getgrav/grav-plugin-api) до версии 1.0.0-rc.16 принимает JWT токены доступа через параметр URL запроса ?token= на каждом маршруте API (fallback в JwtAuthenticator::extractBearerToken). Поскольку токены внедряются в URLs, они записываются дословно в логах доступа веб-сервера, утекают через заголовок Referer, сохраняются в истории браузера и захватываются логами прокси-серверов верхнего уровня и CDN, что приводит к раскрытию действительных токенов административного доступа. Утечка токена предоставляет несанкционированный доступ к API, включая чтение конфигурации и пользовательских данных, создание учетных записей администраторов, изменение системных настроек и удаление страниц.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Ответственный

VulnCheck

Резервировать

14.07.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379732

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!