CVE-2026-42613

Nome do Software Vulnerável e Versões Afetadas Grav versão 1.8.0-beta.29 Login Plugin versões anteriores a 3.8.2

Descrição Uma falha de validação no lado do servidor existe na função Login::register() do plugin Login. Quando o registro de usuário está habilitado e os campos groups ou access estão incluídos na configuração de campos permitidos, um usuário não autenticado pode injetar essas variáveis na solicitação de registro. Como a função Login::validateField() não valida os parâmetros groups e access, um invasor pode se registrar com privilégios de admin.super. Essa escalada de privilégios pode levar ao acesso total ao painel administrativo e, potencialmente, à execução remota de código (RCE).

Recomendações Atualize o Login Plugin para a versão 3.8.2 ou posterior. Como medida paliativa temporária, remova groups e access da lista user registration.fields na configuração para evitar que usuários não autenticados injetem níveis de privilégio.