CVE-2026-42608
KrytyczneStreszczenie
Grav to platforma internetowa oparta na plikach. Przed wersją 2.0.0-beta.2 występowała podatność typu Path Traversal w głównym komponencie FormFlash, umożliwiająca nieautoryzowanym atakującym manipulację systemem plików.
Ocena ryzyka
Podatność ta może prowadzić do nieautoryzowanej modyfikacji zachowania aplikacji, problemów z integralnością danych oraz zakłóceń w działaniu usług w środowiskach produkcyjnych.
Rekomendacja
Zaleca się aktualizację do wersji 2.0.0-beta.2, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Grav is a file-based Web platform. Prior to 2.0.0-beta.2, there is a Path Traversal vulnerability within the FormFlash core component. By manipulating the session_id (passed as __form-flash-id in POST requests), an unauthenticated attacker can traverse the filesystem to create arbitrary directories and write an index.yaml file containing attacker-controlled data. This vulnerability can lead to unauthorized modification of application behavior, potential data integrity issues, and service disruption in production environments. This vulnerability is fixed in 2.0.0-beta.2.

