CVE-2026-42842— Grav 跨站脚本漏洞
Possible ATT&CK Techniques 1AI
T1059 · Command and Scripting InterpreterAffected Version Matrix 2
| ベンダー | プロダクト | Version Range | ステータス |
|---|---|---|---|
| getgrav | grav | < 2.0.0-beta.2 | affected |
| getgrav | grav-plugin-form | < 9.1.0 | affected |
新しい脆弱性情報の通知を購読するログインして購読
I. CVE-2026-42842の基本情報
脆弱性情報
脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗ 高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。
脆弱性タイトル
grav-plugin-form: XSS via Taxonomy Field Values in Admin Panel
ソース: NVD (National Vulnerability Database)
脆弱性説明
The form plugin for Grav adds the ability to create and use forms. Prior to 9.1.0, a Stored Cross-Site Scripting (XSS) vulnerability exists in the Grav CMS Form plugin's select field template. Taxonomy tag and category values are rendered with the Twig |raw filter in the admin panel, bypassing the global autoescape protection. An editor-level user can inject arbitrary JavaScript that executes in any administrator's browser session when they view or edit any page in the admin panel. This vulnerability is fixed in 9.1.0.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Grav 跨站脚本漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Grav是Grav开源的一套可扩展的用于个人博客、小型内容发布平台和单页产品展示的CMS(内容管理系统)。 Grav 9.1.0之前版本存在跨站脚本漏洞,该漏洞源于select字段模板中分类标签和类别值使用Twig |raw过滤器渲染,绕过全局自动转义,可能导致编辑者级别用户注入任意JavaScript。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)
影響を受ける製品
| ベンダー | プロダクト | 影響を受けるバージョン | CPE | 購読 |
|---|---|---|---|---|
| getgrav | grav | < 2.0.0-beta.2 | - | |
| getgrav | grav-plugin-form | < 9.1.0 | - |
II. CVE-2026-42842の公開POC
| # | POC説明 | ソースリンク | Shenlongリンク |
|---|
AI生成POCプレミアム
公開POCは見つかりませんでした。
ログインしてAI POCを生成III. CVE-2026-42842のインテリジェンス情報
请登录查看更多情报信息。
CVE-2026-42842 补丁与修复 (1)
CVE-2026-42842 厂商安全公告 (1)
Same Patch Batch · getgrav · 2026-05-11 · 13 CVEs total
| CVE-2026-42613 | 9.4 CRITICAL | Grav: Privilege Escalation via Missing Server-Side Validation of groups/access |
| CVE-2026-42607 | 9.1 CRITICAL | Grav: Remote Code Execution (RCE) via Malicious Plugin ZIP Upload in Direct Install Featur |
| CVE-2026-42611 | 8.9 HIGH | Grav: Stored XSS via Tag Injection |
| CVE-2026-42843 | 8.8 HIGH | grav-plugin-api: Grav API Privilege Escalation to Super Admin |
| CVE-2026-42612 | 8.5 HIGH | Grav: Publisher-Level Stored XSS via Unquoted Event Attributes |
| CVE-2026-42609 | 8.1 HIGH | Grav: Administrative Account Disruption and Privilege De-escalation via User Overwrite Log |
| CVE-2026-44738 | 7.7 HIGH | Grav: Twig sandbox allows editor-role users to exfiltrate all plugin secrets via Config::t |
| CVE-2026-42610 | 6.5 MEDIUM | Grav: Sensitive Information Disclosure via Accounts Service Bypass |
| CVE-2026-42608 | Grav: Unauthenticated Path Traversal & Arbitrary File Write in FormFlash component. | |
| CVE-2026-42845 | Grav: Anonymous Page Content Overwrite via Form File Upload filename Override | |
| CVE-2026-42841 | Grav: Stored XSS via Markdown media attribute() action in Grav CMS | |
| CVE-2026-44737 | grav-plugin-admin: Stored Cross-Site Scripting (XSS) Reflected endpoint /admin/pages/[page |
IV. 関連脆弱性
同じ製品: grav
- CVE-2026-42844
Grav: Low-privileged API users can create super-admin accoun - CVE-2026-44738
Grav: Twig sandbox allows editor-role users to exfiltrate al - CVE-2026-42613
Grav: Privilege Escalation via Missing Server-Side Validatio - CVE-2026-42612
Grav: Publisher-Level Stored XSS via Unquoted Event Attribut - CVE-2026-42611
Grav: Stored XSS via Tag Injection
同じベンダー: getgrav
- CVE-2026-42844
Grav: Low-privileged API users can create super-admin accoun - CVE-2026-42843
grav-plugin-api: Grav API Privilege Escalation to Super Admi - CVE-2026-44737
grav-plugin-admin: Stored Cross-Site Scripting (XSS) Reflect - CVE-2026-44738
Grav: Twig sandbox allows editor-role users to exfiltrate al - CVE-2026-42845
Grav: Anonymous Page Content Overwrite via Form File Upload
同じ弱点: CWE-79
- CVE-2026-42750
WordPress WPComplete plugin <= 2.9.5.4 - Cross Site Scriptin - CVE-2026-42754
WordPress Favicon plugin <= 1.3.46 - Cross Site Scripting (X - CVE-2026-42751
WordPress Booking Manager plugin <= 2.1.18 - Cross Site Scri - CVE-2026-42759
WordPress Affiliate Super Assistent plugin <= 1.10.1 - Cross - CVE-2026-42762
WordPress VikBooking Hotel Booking Engine & PMS plugin <= 1.
V. CVE-2026-42842へのコメント
まだコメントはありません