CVE-2026-62387
摘要
由 VulDB • 2026-07-17
Grav API插件(getgrav/grav-plugin-api)在版本1.0.0-rc.16之前,在所有响应中默认配置了Access-Control-Allow-Origin: *作为CORS设置,包括经过身份验证的端点和预检(OPTIONS)请求。由于该插件通过Authorization和X-API-Token头接受凭据(由JavaScript以编程方式设置而非通过Cookie),攻击者一旦获取有效的访问令牌(例如通过日志泄露、Referer头部、浏览器历史记录或网络抓包),就可以从任何恶意网站发起完全经过身份验证的跨域请求,读取敏感数据并以该令牌用户执行写操作。此问题已在1.0.0-rc.16版本中修复。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.