CVE-2026-62386 in Grav
Tóm tắt
Bởi VulDB • 17/07/2026
Plugin Grav API (getgrav/grav-plugin-api) trước phiên bản 1.0.0-rc.16 chấp nhận các mã thông báo truy cập JWT qua tham số truy vấn URL ?token trên mọi tuyến đường API (fallback của JwtAuthenticator::extractBearerToken). Do các mã thông báo được nhúng trong URLs, chúng được ghi lại nguyên văn vào nhật ký truy cập máy chủ web, bị rò rỉ qua tiêu đề Referer, lưu trữ trong lịch sử trình duyệt và bị bắt bởi nhật ký proxy trung gian và CDN, làm lộ ra các mã thông báo truy cập quản trị hợp lệ. Một mã thông báo bị rò rỉ cho phép truy cập API trái phép, bao gồm đọc cấu hình và dữ liệu người dùng, tạo tài khoản quản trị, sửa đổi cài đặt hệ thống và xóa trang.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.