Katalog CVE

CVE-2026-42607

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Grav to platforma internetowa oparta na plikach. Przed wersją 2.0.0-beta.2, uwierzytelniony użytkownik z uprawnieniami administratora mógł uzyskać zdalne wykonanie kodu (RCE) poprzez przesłanie specjalnie przygotowanego pliku ZIP za pomocą narzędzia 'Direct Install'.

Ocena ryzyka

Organizacja jest narażona na zdalne wykonanie kodu, co może prowadzić do przejęcia kontroli nad serwerem i wycieku danych.

Rekomendacja

Zaleca się aktualizację do wersji 2.0.0-beta.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Grav is a file-based Web platform. Prior to 2.0.0-beta.2, an authenticated user with administrative privileges can achieve Remote Code Execution (RCE) by uploading a specially crafted ZIP file through the "Direct Install" tool. While the system attempts to block direct .php file uploads, it fails to inspect the contents of uploaded ZIP archives. Once a malicious plugin is extracted, it can execute arbitrary PHP code or drop a persistent web shell on the server. This vulnerability is fixed in 2.0.0-beta.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS