Katalog CVE

CVE-2026-42613

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Grav to platforma internetowa oparta na plikach. W wersjach przed 2.0.0-beta.2 metoda Login::register() wtyczki Login akceptuje grupy i pola dostępu kontrolowane przez atakującego bez walidacji po stronie serwera.

Ocena ryzyka

Nieautoryzowany użytkownik może zarejestrować się z uprawnieniami admin.super, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację do wersji 2.0.0-beta.2 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Grav is a file-based Web platform. Prior to 2.0.0-beta.2, the Login::register() method in the Login plugin accepts attacker-controlled groups and access fields from the registration POST data without server-side validation. When registration is enabled and groups or access are included in the configured allowed fields list, an unauthenticated user can self-register with admin.super privileges by injecting these fields into the registration request. This vulnerability is fixed in 2.0.0-beta.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS