Krytyczna luka RCE w Grav przed wersją 2.0.0-beta.2 przez nieprawidłową walidację ZIP
CVE-2026-42607 umożliwia zdalne wykonanie kodu w Grav przed 2.0.0-beta.2 przez nieprawidłową walidację ZIP. Zalecana szybka aktualizacja.
- CVSS
- 9.1 CRITICAL
- EPSS
- 89.12%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- -
Co wiadomo
W Grav, platformie webowej opierającej się na plikach, uwierzytelniony administrator może wykonać zdalne wykonanie kodu (RCE) poprzez przesłanie specjalnie spreparowanego archiwum ZIP za pomocą narzędzia „Direct Install”. System blokuje bezpośrednie przesyłanie plików .php, lecz nie sprawdza zawartości ZIP, co pozwala na uruchomienie złośliwego kodu PHP lub instalację trwałej powłoki webowej.
Wpływ biznesowy
Luka o wysokim poziomie krytyczności (CVSS 9.1) umożliwia atakującemu z uprawnieniami administratora wykonanie dowolnego kodu na serwerze, co może prowadzić do pełnego przejęcia systemu, wycieku danych lub dalszej eskalacji ataku. Operatorzy infrastruktury korzystający z Grav powinni pilnie zweryfikować wersję oprogramowania i podjąć działania zabezpieczające, aby uniknąć poważnych konsekwencji biznesowych.
Rekomendowane działania administratora
Zaleca się niezwłoczne zaktualizowanie Grav do wersji 2.0.0-beta.2 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do narzędzia „Direct Install” tylko do zaufanych administratorów, monitorować logi systemowe pod kątem podejrzanej aktywności oraz przeprowadzić audyt przesyłanych plików ZIP. Regularnie przeglądać i stosować zalecenia producenta dotyczące bezpieczeństwa.