Katalog CVE

CVE-2026-56701

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Grav przed wersją 2.0.0-beta.2 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w procesie przesyłania plików SVG, co pozwala uwierzytelnionym atakującym na odczyt dowolnych plików. Aplikacja używa funkcji simplexml_load_string bez wyłączenia ładowania zewnętrznych jednostek, co umożliwia atakującym wstrzykiwanie ładunków XXE za pomocą złośliwych plików SVG.

Ocena ryzyka

Podatność ta może prowadzić do wycieku wrażliwych danych, co stanowi poważne zagrożenie dla bezpieczeństwa organizacji. Umożliwia to atakującym dostęp do poufnych informacji przechowywanych na serwerze.

Rekomendacja

Zaleca się aktualizację do wersji Grav 2.0.0-beta.2 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy wyłączyć ładowanie zewnętrznych jednostek XML w aplikacji.

Oryginalny opis (angielski, źródło NVD)

Grav before 2.0.0-beta.2 contains an XML external entity injection vulnerability in SVG file upload processing that allows authenticated attackers to read arbitrary files. The application uses simplexml_load_string without disabling external entity loading, enabling attackers to inject XXE payloads via malicious SVG files to exfiltrate sensitive data.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS