Pubblicato il 2026-07-15 · Fonte: NVD NIST
La vulnerabilità CVE-2026-58655 è una stored server-side template injection che colpisce il plugin Grav Flex Objects. Questa vulnerabilità consente a un attaccante di eseguire codice Twig arbitrario e di accedere ai servizi interni di Grav, come il scheduler. La vulnerabilità si verifica quando il plugin passa valori di frontmatter controllati dall'utente a Twig's template_from_string(), bypassando la sanitizzazione di Grav. La CVSS Score di 8,8 indica un impatto alto.
Un attaccante che può controllare il titolo frontmatter di una pagina Flex Objects pubblicamente raggiungibile può sfruttare questa vulnerabilità per eseguire codice Twig arbitrario e accedere ai servizi interni di Grav. Ciò può portare a un'esecuzione di comando remota e a un controllo non autorizzato del sistema. I sistemi che utilizzano il plugin Grav Flex Objects sono a rischio, in particolare se non sono aggiornati alla versione 1.4.0 o successiva.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Grav Flex Objects alla versione 1.4.0 o successiva. Inoltre, è importante seguire le migliori pratiche di sicurezza, come limitare l'accesso ai servizi interni di Grav e monitorare le attività sospette. Se non è possibile aggiornare il plugin, si possono adottare misure di workaround, come disabilitare il plugin o limitare l'accesso alle pagine Flex Objects.
La vulnerabilità CVE-2026-58655 è una stored server-side template injection che colpisce il plugin Grav Flex Objects, permettendo l'esecuzione di codice arbitrario Twig e l'accesso ai servizi interni di Grav.
La vulnerabilità si verifica quando il plugin passa valori di frontmatter controllati dall'utente a Twig's template_from_string(), bypassando la sanitizzazione di Grav.
Per proteggersi da questa vulnerabilità, si consiglia di aggiornare il plugin Grav Flex Objects alla versione 1.4.0 o successiva e di seguire le migliori pratiche di sicurezza, come limitare l'accesso ai servizi interni di Grav e monitorare le attività sospette.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.