CVE-2026-61452 in Gravthông tin

Tóm tắt

Bởi VulDB • 15/07/2026

Plugin Grav API (getgrav/grav-plugin-api) trước phiên bản 2.0.4 chứa một lỗ hổng không vô hiệu hóa phiên đúng cách, trong đó các mã thông báo truy cập JWT được cấp phát mà thiếu yêu cầu jti (JWT ID), do đó không thể thu hồi ở phía máy chủ. Không giống như các mã làm mới, các mã truy cập vẫn có giá trị trong suốt vòng đời đầy đủ của chúng (mặc định là 1 giờ) bất kể đăng xuất, thay đổi mật khẩu, cấp phát mã thông báo mới hoặc vô hiệu hóa tài khoản. Một kẻ tấn công đã đánh cắp một mã truy cập sẽ duy trì quyền truy cập API toàn bộ cho đến khi mã đó hết hạn tự nhiên.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

09/07/2026

Tiết lộ

15/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Interested in the pricing of exploits?

See the underground prices here!