CVE-2026-42845

Nome do Software Vulnerável e Versões Afetadas Grav form plugin versões anteriores a 9.1.0

Descrição Existe uma sobreposição de conteúdo de página não autenticada via upload de arquivo. O manipulador de upload de arquivos em user/plugins/form/classes/Form.php utiliza um parâmetro filename que pode ser controlado via requisições POST. Como a função Utils::checkFilename() bloqueia apenas um conjunto limitado de extensões, arquivos com extensões como .md são permitidos. Quando um formulário é configurado com uma política accept permissiva e a configuração padrão destination: self@, um invasor pode fazer o upload de um arquivo markdown malicioso para sobrescrever o arquivo de conteúdo da própria página. Isso pode ser explorado para elevar privilégios para super-administrador utilizando uma ação process: save.

Recomendações Atualize o plugin de formulário para a versão 9.1.0. Como medida paliativa temporária, restrinja a política accept dos campos de upload de arquivos para excluir extensões baseadas em texto ou evite usar a configuração destination: self@.