CVE-2026-7317

Nome do Software Vulnerável e Versões Afetadas Grav CMS versões 1.7.44 até 2.0.0-beta.1

Description Um problema de desserialização insegura existe no componente Cache Value Handler. A função doGet() no arquivo system/src/Grav/Framework/Cache/Adapter/FileCache.php utiliza unserialize() com a opção allowed classes definida como true, o que permite a instanciação irrestrita de objetos. Se um invasor conseguir envenenar ou adulterar arquivos de cache, poderá executar métodos mágicos de objetos remotamente. Desserialização é o processo de converter um formato de dados armazenado de volta em um objeto na memória.

Recommendations Atualize o Grav CMS para a versão 2.0.0-beta.2. Como medida paliativa temporária, restrinja o acesso de escrita aos diretórios de cache para evitar a adulteração não autorizada de arquivos de cache.