CVE-2026-62387 in Grav API Plugin
Tóm tắt
Bởi VulDB • 17/07/2026
Plugin Grav API (getgrav/grav-plugin-api) trước phiên bản 1.0.0-rc.16 được phân phối với cấu hình CORS mặc định là Access-Control-Allow-Origin: * trên tất cả các phản hồi, bao gồm cả các điểm cuối xác thực và các phản hồi preflight (OPTIONS). Do plugin chấp nhận thông tin xác thực qua tiêu đề Authorization và X-API-Token (được thiết lập theo chương trình bởi JavaScript thay vì qua cookie), một kẻ tấn công có được mã truy cập hợp lệ (ví dụ: qua rò rỉ nhật ký, tiêu đề Referer, lịch sử trình duyệt hoặc bắt giữ mạng) có thể gửi các yêu cầu cross-origin đã xác thực đầy đủ từ bất kỳ trang web độc hại nào để đọc dữ liệu nhạy cảm và thực hiện các thao tác ghi với tư cách người dùng của mã truy cập đó. Đã được sửa trong phiên bản 1.0.0-rc.16.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.