CVE-2026-56701
ŚrednieCVSS 6.5Streszczenie
Grav przed wersją 2.0.0-beta.2 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w procesie przesyłania plików SVG, co pozwala uwierzytelnionym atakującym na odczyt dowolnych plików. Aplikacja używa funkcji simplexml_load_string bez wyłączenia ładowania zewnętrznych jednostek, co umożliwia atakującym wstrzykiwanie ładunków XXE za pomocą złośliwych plików SVG.
Ocena ryzyka
Podatność ta może prowadzić do wycieku wrażliwych danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji. Umożliwia to atakującym dostęp do poufnych informacji przechowywanych na serwerze.
Rekomendacja
Zaleca się aktualizację do wersji Grav 2.0.0-beta.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wyłączyć ładowanie zewnętrznych jednostek XML w aplikacji.
Oryginalny opis (angielski, źródło NVD)
Grav before 2.0.0-beta.2 contains an XML external entity injection vulnerability in SVG file upload processing that allows authenticated attackers to read arbitrary files. The application uses simplexml_load_string without disabling external entity loading, enabling attackers to inject XXE payloads via malicious SVG files to exfiltrate sensitive data.

