CVE-2026-56700
Kritisk

CVE-2026-56700: Kritisk Grav CMS-sårbarhed — opdater nu

Kritisk sårbarhed i Grav CMS giver angribere fuld kontrol over din hjemmeside – opdater straks til version 2.0.0-beta.2.

CVSS Score
9.8
Offentliggjort
30/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater inden for 24-48 timer

Hvad er det?

Grav CMS er et populært indholdsstyringssystem (CMS) til hjemmesider. Denne sårbarhed dækker over tre forskellige fejl i systemet, der alle kan misbruges til at køre vilkårlig kode på din server — det vil sige, at en angriber kan udføre egne kommandoer på din computers styresystem.

Konkret skyldes problemerne:

  • Usikker deserialisering (tre steder): Grav behandler gemt data på en usikker måde, så en angriber kan snige skadelig kode ind i systemet.
  • OS-kommandoindsprøjtning: Ved installation af plugins eller temaer sendes parametre direkte til styresystemet uden sikkerhedstjek.
  • Skabelonindsprøjtning (SSTI): En fejl i Gravs skabelonsystem giver mulighed for at omgå sikkerhedsfiltre og afvikle kode.

Fejlene er rettet i Grav CMS version 2.0.0-beta.2.

Hvem rammer det?

Sårbarheden rammer alle, der driver en hjemmeside bygget på Grav CMS i en version ældre end 2.0.0-beta.2. Det gælder typisk:

  • Små og mellemstore virksomheder med Grav-baserede hjemmesider
  • Webshops, porteføljesider og virksomhedshjemmesider bygget på Grav
  • Organisationer, der bruger Grav som intranet eller dokumentationsplatform

OS-kommandoindsprøjtningsfejlen kræver, at angriberen har adgang som administrator på din Grav-installation. De øvrige fejl (usikker deserialisering og skabelonindsprøjtning) kan potentielt udnyttes uden login, da de kan nås over netværket uden særlige rettigheder.

Hvad kan ske?

Hvis en angriber udnytter disse sårbarheder, kan konsekvenserne være alvorlige:

  • Fuld overtagelse af serveren: Angriberen kan køre egne programmer og kommandoer på din server.
  • Datatyveri: Alle filer, databaser og fortrolige oplysninger på serveren kan læses og kopieres.
  • Hjemmesidedefacement: Angriberen kan ændre eller slette indholdet på din hjemmeside.
  • Installation af bagdøre: Skadelig software kan installeres, så angriberen bevarer adgang selv efter opdatering.
  • Spredning til andre systemer: Er din server forbundet til andre interne systemer, kan angrebet sprede sig videre.

Den høje CVSS-score på 9,8 ud af 10 afspejler, at konsekvenserne rammer fortrolighed, integritet og tilgængelighed på serveren fuldt ud.

Hvor alvorligt er det?

Denne sårbarhed er vurderet til kritisk med en CVSS-score på 9,8 ud af 10 — det er den næsthøjeste mulige score. Det betyder:

  • Angrebet kan gennemføres over internettet uden fysisk adgang.
  • Det kræver ingen særlige tekniske forudsætninger (lav kompleksitet).
  • For deserialiserings- og skabelonfejlene kræves hverken brugernavn eller adgangskode.
  • Angriberen opnår fuld kontrol over fortrolighed, data og tilgængelighed.

CWE-78 (OS Command Injection) og CWE-502 (Deserialization of Untrusted Data) er begge velkendte og velafprøvede angrebsmetoder, som erfarne angribere kender til og aktivt søger efter.

Hvad gør jeg nu?

Du bør handle hurtigt. Her er hvad du konkret skal gøre:

  1. Identificér om du bruger Grav CMS: Spørg din webudvikler eller webhost, hvilken platform din hjemmeside kører på, og hvilken version der er installeret.
  2. Opdater til Grav CMS 2.0.0-beta.2 eller nyere: Dette er den eneste komplette løsning. Kontakt din webudvikler og bed dem opdatere hurtigst muligt.
  3. Begræns adgang til adminpanelet: Som midlertidig foranstaltning kan adgangen til Grav’s administrationspanel begrænses til kendte IP-adresser (IP-hvidlistning).
  4. Gennemgå administratorkonti: Kontrollér, at kun betroede personer har administratoradgang til dit Grav-system, og fjern eventuelle ukendte konti.
  5. Tjek for tegn på kompromittering: Bed din it-ansvarlige eller webudvikler kigge serverlogfiler igennem for usædvanlig aktivitet siden 30. juni 2026.
  6. Tag backup nu: Sørg for at have en aktuel backup af hjemmeside og data, inden opdateringen foretages.
Tidsfrist

Opdater inden for 24-48 timer

Sådan ser Auroa det

Auroa anbefaler, at du kontakter din webudvikler eller webhost i dag og beder dem opdatere din Grav CMS-installation til version 2.0.0-beta.2. Denne sårbarhed er kritisk og kan udnyttes over internettet uden login — det giver angribere mulighed for at overtage din server fuldstændigt. Mens du venter på opdateringen, bør adgangen til administrationspanelet begrænses. Har du mistanke om, at din hjemmeside allerede er kompromitteret, bør du kontakte en cybersikkerhedsekspert med det samme.

Tidslinje

30/06/2026
CVE offentliggjort og patch udgivet
CVE-2026-56700 offentliggøres i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9,8. Grav CMS frigiver samtidig version 2.0.0-beta.2, som lukker alle tre sårbarheder.
30/06/2026
Sårbarhedsdetaljer tilgængelige offentligt
Den tekniske beskrivelse af sårbarhederne — herunder de tre usikre deserialiseringspunkter og OS-kommandoindsprøjtningen — er nu offentligt tilgængelig, hvilket øger risikoen for, at angribere begynder at søge efter sårbare installationer.
01/07/2026
Øget scanningsaktivitet forventet
Baseret på erfaring med lignende kritiske CMS-sårbarheder begynder automatiserede scanningsværktøjer typisk at søge efter sårbare installationer inden for 24-48 timer efter offentliggørelse.
02/07/2026
Proof-of-concept exploit sandsynlig
Givet sårbarhedernes tekniske natur (velkendte angrebstyper som CWE-78 og CWE-502) og den offentlige dokumentation er det sandsynligt, at der inden for få dage vil opstå offentligt tilgængelige proof-of-concept angrebskoder.

Konkrete eksempler

Angriber overtager server via usikker deserialisering

En angriber sender en særligt udformet HTTP-forespørgsel til din Grav-hjemmeside, der indeholder skadelig serialiseret PHP-data. Når Grav’s sessionshandling eller cache-system behandler denne forespørgsel, afvikles angriberens kode direkte på serveren. Angriberen kan herefter oprette en ‘bagdør’ (et skjult adgangspunkt) og have permanent adgang til din server, uden at du opdager det.

Skadelig plugin-installation via kompromitteret adminadgang

Forestil dig, at en medarbejder utilsigtet afslører sit administratorkodeord til Grav via en phishing-mail. Angriberen logger ind og installerer et plugin fra et ondsindet repositorie. Da Grav ikke tjekker de parametre, der sendes til styresystemet under installationen, kan angriberen indlejre OS-kommandoer i f.eks. repositoriets URL — og disse kommandoer udføres automatisk på din server under installationsprocessen.

Hjemmesideoverskrivning via skabelonindsprøjtning

En angriber finder en formular eller et inputfelt på din Grav-hjemmeside, der videregiver tekst til Twig-skabelonmotoren. Ved at omgå Gravs sikkerhedsblokliste kan angriberen indlejre Twig-skabelonkode i sit input, som afvikles på serveren. Resultatet kan være alt fra visning af følsomme systemoplysninger til fuldstændig overtagelse af serveren og sletning eller ændring af dit hjemmesideindhold.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-78
CWE-502

Original NVD-beskrivelse (engelsk)

Grav CMS before 2.0.0-beta.2 contains multiple code-execution vulnerabilities. Three unsafe unserialize() calls – in SchedulerJobQueue, FrameworkCacheAdapterFileCache, and Session – deserialize untrusted data without restricting allowed classes, enabling PHP object injection and, via a gadget chain, arbitrary code execution where an attacker controls the serialized input. Additionally, InstallCommand’s git clone operation passes the branch, url, and path parameters into a shell command without escaping, allowing OS command injection via plugin/theme installation (which requires admin access). A Twig security blocklist bypass (server-side template injection) is also present. The issues are fixed in 2.0.0-beta.2.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-56700
Offentliggjort
30/06/2026
Sidst opdateret
30/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.