Grav Admin Plugin - это HTML-интерфейс пользователя, который предоставляет способ настройки Grav, а также создания и изменения страниц. В версиях 1.10.7 и более ранних неаутентифицированный пользователь может выполнять некоторые методы контроллера администратора без каких-либо учетных данных. Выполнение определенного метода приведет к произвольному созданию YAML-файла или изменению содержимого существующих YAML-файлов в системе. Успешная эксплуатация этой уязвимости приводит к изменениям конфигурации, таким как изменение общей информации о сайте, определение пользовательского задания планировщика и т.д. Из-за характера уязвимости злоумышленник может изменить часть веб-страницы, перехватить учетную запись администратора или выполнить команду операционной системы в контексте пользователя веб-сервера. Эта уязвимость исправлена в версии 1.10.8. Блокировка доступа к пути /admin из ненадежных источников может быть применена в качестве обходного пути.