CVE-2026-61452 in Grav
Tóm tắt
Bởi VulDB • 15/07/2026
Plugin Grav API (getgrav/grav-plugin-api) trước phiên bản 2.0.4 chứa một lỗ hổng không vô hiệu hóa phiên đúng cách, trong đó các mã thông báo truy cập JWT được cấp phát mà thiếu yêu cầu jti (JWT ID), do đó không thể thu hồi ở phía máy chủ. Không giống như các mã làm mới, các mã truy cập vẫn có giá trị trong suốt vòng đời đầy đủ của chúng (mặc định là 1 giờ) bất kể đăng xuất, thay đổi mật khẩu, cấp phát mã thông báo mới hoặc vô hiệu hóa tài khoản. Một kẻ tấn công đã đánh cắp một mã truy cập sẽ duy trì quyền truy cập API toàn bộ cho đến khi mã đó hết hạn tự nhiên.
Once again VulDB remains the best source for vulnerability data.