Krytyczna luka RCE w Grav przed wersją 2.0.0-beta.2 przez nieprawidłową walidację ZIP

CVE-2026-42607 umożliwia zdalne wykonanie kodu w Grav przed 2.0.0-beta.2 przez nieprawidłową walidację ZIP. Zalecana szybka aktualizacja.
CVE-2026-42607CVSS 9.1Web

Krytyczna luka RCE w Grav przed wersją 2.0.0-beta.2 przez nieprawidłową walidację ZIP

CVE-2026-42607 umożliwia zdalne wykonanie kodu w Grav przed 2.0.0-beta.2 przez nieprawidłową walidację ZIP. Zalecana szybka aktualizacja.

CVSS
9.1 CRITICAL
EPSS
89.12%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Grav, platformie webowej opierającej się na plikach, uwierzytelniony administrator może wykonać zdalne wykonanie kodu (RCE) poprzez przesłanie specjalnie spreparowanego archiwum ZIP za pomocą narzędzia „Direct Install”. System blokuje bezpośrednie przesyłanie plików .php, lecz nie sprawdza zawartości ZIP, co pozwala na uruchomienie złośliwego kodu PHP lub instalację trwałej powłoki webowej.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.1) umożliwia atakującemu z uprawnieniami administratora wykonanie dowolnego kodu na serwerze, co może prowadzić do pełnego przejęcia systemu, wycieku danych lub dalszej eskalacji ataku. Operatorzy infrastruktury korzystający z Grav powinni pilnie zweryfikować wersję oprogramowania i podjąć działania zabezpieczające, aby uniknąć poważnych konsekwencji biznesowych.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Grav do wersji 2.0.0-beta.2 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do narzędzia „Direct Install” tylko do zaufanych administratorów, monitorować logi systemowe pod kątem podejrzanej aktywności oraz przeprowadzić audyt przesyłanych plików ZIP. Regularnie przeglądać i stosować zalecenia producenta dotyczące bezpieczeństwa.

Źródła