CVE-2026-42609

Nome do Software Vulnerável e Versões Afetadas Grav versões anteriores a 2.0.0-beta.2

Descrição Um problema de lógica de negócio no Painel de Administração do Grav permite que um usuário de baixo privilégio com permissões de criação de usuário sobrescreva contas existentes, incluindo o administrador principal. Ao criar um novo usuário com um nome de usuário que já existe, o sistema atualiza os metadados e as permissões da conta existente em vez de rejeitar a solicitação. Isso ocorre porque o módulo de gerenciamento de usuários não valida rigorosamente se um nome de usuário já está sendo usado por uma conta de privilégios mais altos, levando à sobrescrita do arquivo de configuração do usuário existente. Isso resulta em uma Negação de Serviço (DoS) nas funções administrativas e na desescalada de privilégios da conta root, bloqueando efetivamente o administrador do sistema.

Recomendações Atualize para a versão 2.0.0-beta.2. Como medida paliativa temporária, restrinja a permissão admin.users.create apenas a administradores confiáveis.