CVE-2026-62386 in Gravthông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Plugin Grav API (getgrav/grav-plugin-api) trước phiên bản 1.0.0-rc.16 chấp nhận các mã thông báo truy cập JWT qua tham số truy vấn URL ?token trên mọi tuyến đường API (fallback của JwtAuthenticator::extractBearerToken). Do các mã thông báo được nhúng trong URLs, chúng được ghi lại nguyên văn vào nhật ký truy cập máy chủ web, bị rò rỉ qua tiêu đề Referer, lưu trữ trong lịch sử trình duyệt và bị bắt bởi nhật ký proxy trung gian và CDN, làm lộ ra các mã thông báo truy cập quản trị hợp lệ. Một mã thông báo bị rò rỉ cho phép truy cập API trái phép, bao gồm đọc cấu hình và dữ liệu người dùng, tạo tài khoản quản trị, sửa đổi cài đặt hệ thống và xóa trang.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

chịu trách nhiệm

VulnCheck

Đặt trước

14/07/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

trung bình

Nguồn

Interested in the pricing of exploits?

See the underground prices here!