CVE-2026-42298 in postiz-appالمعلومات

الملخص

بحسب VulDB • 21/05/2026

Postiz هو أداة جدولة لوسائل التواصل الاجتماعي تعتمد على الذكاء الاصطناعي. قبل الإصدار da44801، سمحت ثغرة "Pwn Request" في سير عمل بناء ونشر صورة Docker الخاصة بطلبات السحب (PR) (.github/workflows/pr-docker-build.yml) لأي مستخدم غير مصادق عليه بتنفيذ أكواد عشوائية أثناء عملية بناء Docker وسرقة رمز GITHUB_TOKEN ذي الامتيازات العالية (صلاحيات write-all). يمكن تحقيق ذلك ببساطة عن طريق فتح طلب سحب (Pull Request) من مستودع شوكي (fork) يحتوي على ملف Dockerfile.dev معدل بشكل ضار. تم إصلاح هذه المشكلة عبر الإصدار da44801.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

26/04/2026

إفشاء

09/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362393

CPE

جاهز

CWE

CWE-94 (مؤكد)

CVSS

9.8 (NVD)

EPSS

0.00197

KEV

لا

النشاطات

منخفض

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42298
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42298
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42298/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!