CVE-2024-34082 in gravthông tin

Tóm tắt

Bởi VulDB • 14/06/2026

Grav là một nền tảng web dựa trên tệp tin. Trước phiên bản 1.7.46, tài khoản người dùng có đặc quyền thấp với khả năng chỉnh sửa trang có thể đọc bất kỳ tệp nào trên máy chủ bằng cách sử dụng cú pháp Twig. Điều này bao gồm các tệp tài khoản người dùng Grav - `/grav/user/accounts/*.yaml`. Tệp này lưu trữ mật khẩu đã được băm của người dùng, bí mật xác thực 2FA và mã làm mới mật khẩu. Lỗ hổng này cho phép kẻ tấn công xâm phạm bất kỳ tài khoản đã đăng ký nào và đọc mọi tệp trên máy chủ web bằng cách đặt lại mật khẩu cho một người dùng để lấy mã làm mới mật khẩu từ tệp hoặc bằng cách phá vỡ mật khẩu đã được băm. Người dùng có đặc quyền thấp cũng có thể thực hiện chiếm đoạt toàn bộ tài khoản của các người dùng đã đăng ký khác, bao gồm cả Quản trị viên (Administrator). Phiên bản 1.7.46 chứa một bản vá lỗi.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Đặt trước

30/04/2024

Tiết lộ

15/05/2024

Kiểm duyệt

được chấp nhận

EPSS

0.03071

KEV

không

Các hoạt động

rất thấp

Nguồn

Might our Artificial Intelligence support you?

Check our Alexa App!