CVE-2026-62361 in listmonkالمعلومات

الملخص

بحسب VulDB • 15/07/2026

listmonk هو مدير مستقل ومستضاف ذاتيًا للنشرات الإخبارية وقوائم البريد الإلكتروني. قبل الإصدار 6.2.0، يقوم نقطة النهاية GET /api/subscribers/export في listmonك بحقن معلمة الاستعلام التي يتحكم فيها المستخدم داخل الدالة QuerySubscribersForExport الموجودة في internal/core/subscribers.go دون استدعاء validateQueryTables، على عكس نقطة النهاية GET /api/subscribers، مما يتيح للمستخدم المصادق عليه الذي يمتلك صلاحيات subscribers:sql_query وsubscribers:get_all قراءة جداول قاعدة بيانات عشوائية مثل users وsettings وتنفيذ عبارات CTEs (الجمل المشتركة表) في PostgreSQL تعدل البيانات. تم إصلاح هذه المشكلة في الإصدار 6.2.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub M

حجز

14/07/2026

إفشاء

16/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379421

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Do you know our Splunk app?

Download it now for free!