Критична вразливість RCE в Grav через завантаження ZIP-файлів

Критична вразливість у Grav дозволяє віддалене виконання коду через завантаження шкідливих ZIP-файлів. Оновіть до версії 2.0.0-beta.2 для захисту.
CVE-2026-42607CVSS 9.1Web

Критична вразливість RCE в Grav через завантаження ZIP-файлів

Критична вразливість у Grav дозволяє віддалене виконання коду через завантаження шкідливих ZIP-файлів. Оновіть до версії 2.0.0-beta.2 для захисту.

CVSS
9.1 CRITICAL
EPSS
89.12%
Активно використовується
немає в KEV
Продукт
-

Що відомо

У Grav до версії 2.0.0-beta.2 автентифікований адміністратор може виконати віддалене виконання коду, завантажуючи спеціально сформований ZIP-файл через інструмент «Direct Install». Система не перевіряє вміст архівів, що дозволяє запускати довільний PHP-код або встановлювати стійкий веб-шелл.

Бізнес-вплив

Ця вразливість дозволяє зловмиснику з правами адміністратора на сервері Grav виконувати довільний код, що може призвести до повного контролю над веб-сервером і компрометації даних. Власники інфраструктури повинні розглядати цю проблему як критичну через високий рівень ризику та потенційні наслідки для безпеки.

Рекомендовані дії адміністратора

Адміністраторам слід негайно оновити Grav до версії 2.0.0-beta.2 або новішої, перевірити журнали на ознаки підозрілої активності, обмежити доступ до інструменту «Direct Install» лише довіреним користувачам і регулярно контролювати завантаження файлів. Якщо оновлення неможливе, рекомендується обмежити права користувачів та посилити моніторинг системи.

Джерела