PT-2025-48555 · Unknown+1 · Grav Admin Plugin+1
Publicado
2025-12-01
·
Atualizado
2025-12-01
·
CVE-2025-66296
CVSS v3.1
8.8
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Grav anteriores à 1.8.0-beta.27
Descrição
O plugin Admin do Grav contém uma falha na qual a criação de novas contas de usuário não valida a unicidade do nome de usuário. Isso permite que um usuário com permissão para criar usuários crie uma conta com o mesmo nome de usuário de uma conta de administrador existente, efetivamente obtendo acesso de administrador através de escalonamento de privilégio. O
username não é validado adequadamente durante a criação da conta, permitindo que um atacante sobrescreva as credenciais do administrador com uma nova password e email.Recomendações
Atualize para a versão do Grav 1.8.0-beta.27 ou posterior.
Exploit
Correção
LPE
Incorrect Privilege Assignment
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Grav
Grav Admin Plugin