Pubblicato il 2026-07-15 · Fonte: NVD NIST
La vulnerabilità CVE-2026-61457 è stata scoperta nel plugin Grav API, specificamente nella versione precedente a 1.0.3. Questa vulnerabilità permette a un utente con permessi di scrittura sui media di bypassare il controllo delle estensioni pericolose, caricando file con estensioni multiple, come shell.php.jpg. Ciò potrebbe portare a un'esecuzione di codice remoto se il server web esegue il file come PHP. La CVSS Score di 8.8 indica che si tratta di una vulnerabilità di alto livello.
Un attaccante potrebbe sfruttare questa vulnerabilità per eseguire codice arbitrario sul server, potenzialmente conducendo a violazioni della sicurezza e compromettimento dei dati. I sistemi che utilizzano il plugin Grav API nella versione interessata sono a rischio. La possibilità di esecuzione di codice remoto rappresenta una minaccia significativa per la sicurezza dei sistemi.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, si consiglia di aggiornare il plugin Grav API alla versione 1.0.3 o successiva. In assenza di un patch specifico, è importante adottare pratiche di sicurezza generali, come limitare i permessi di upload dei file e monitorare le attività sospette. È anche raccomandato valutare le configurazioni di sicurezza del server web per prevenire l'esecuzione di codice PHP non autorizzato.
La vulnerabilità CVE-2026-61457 è un problema di sicurezza nel plugin Grav API che consente l'upload di file con estensioni multiple, bypassando il controllo delle estensioni pericolose.
L'impatto della vulnerabilità include la possibilità di esecuzione di codice remoto, che potrebbe portare a violazioni della sicurezza e compromettimento dei dati.
Per proteggersi, è consigliato aggiornare il plugin Grav API alla versione 1.0.3 o successiva e adottare pratiche di sicurezza generali, come limitare i permessi di upload dei file e monitorare le attività sospette.
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.