Retour à la veille

CVE-2026-62234

Publié : 17 juillet 2026
Modifié : 17 juillet 2026
Lien officiel NVD
Score CVSS
8.1
HIGH

Description détaillée

Grav before 2.0.4 fails to restrict cURL protocols in webhook dispatch, allowing authenticated users with api.webhooks.write permission to create webhooks with file://, dict://, or gopher:// URLs. Attackers can trigger webhook events to read local files, access process information, or pivot to internal services via unrestricted protocol handlers.

Vecteur d'attaque (CVSS)

Vecteur brut :CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Références et Patchs