Grav is an open-source, flat-file content management system. A file upload path traversal vulnerability has been identified in the application prior to version 1.7.45, enabling attackers to replace or create files with extensions like .json, .zip, .css, .gif, etc. This critical security flaw poses severe risks, that can allow attackers to inject arbitrary code on the server, undermine integrity of backup files by overwriting existing files or creating new ones, and exfiltrate sensitive data using CSS exfiltration techniques. Upgrading to patched version 1.7.45 can mitigate the issue.
Grav es un sistema de gestión de contenidos de archivos planos de código abierto. Se identificó una vulnerabilidad de path traversal de carga de archivos en la aplicación anterior a la versión 1.7.45, lo que permite a los atacantes reemplazar o crear archivos con extensiones como .json, .zip, .css, .gif, etc. Esta falla de seguridad crítica plantea riesgos graves , que puede permitir a los atacantes inyectar código arbitrario en el servidor, socavar la integridad de los archivos de respaldo sobrescribiendo archivos existentes o creando otros nuevos, y exfiltrar datos confidenciales utilizando técnicas de exfiltración CSS. Actualizar a la versión parcheada 1.7.45 puede mitigar el problema.
