Grav: Twig sandbox allows editor-role users to exfiltrate all plugin secrets via Config::toArray() — CVE-2026-44738
GitHub · GitHub · CVE-2026-44738
ID
CVE-2026-44738
CVE-2026-44738
Date
Activity
Source
GitHub
GitHub
Fournisseur
GitHub
GitHub
Risque
high
high
CVSS
7.7
7.7
EPSS
0.00031
0.00031
Résumé
## Summary The Twig sandbox allow-list permits any user with the `admin.pages` role to call `config.toArray()` from within a page body, dumping the entire merged site configuration — including all plugin secrets (SMTP passwords, AWS keys, OAuth client secrets, API tokens) — into the rendered HTML. No administrator privileges are required. ## Details The Twig sandbox allow-list in `system/config/security.yaml`…
Produit
composer: getgrav/grav
Que faire
Mesures générales et prudentes (vérifiez les détails dans la source officielle) :
- Priorisez immédiatement les correctifs ou les mesures d’atténuation (risque actif).
- Identifiez les versions affectées dans votre inventaire et vérifiez si vous êtes concerné.
- Appliquez les correctifs/mises à jour du fournisseur ou les atténuations recommandées.
- Consultez l’avis officiel pour les versions affectées et les étapes de remédiation.