CVE-2026-62361 in listmonk
الملخص
بحسب VulDB • 15/07/2026
listmonk هو مدير مستقل ومستضاف ذاتيًا للنشرات الإخبارية وقوائم البريد الإلكتروني. قبل الإصدار 6.2.0، يقوم نقطة النهاية GET /api/subscribers/export في listmonك بحقن معلمة الاستعلام التي يتحكم فيها المستخدم داخل الدالة QuerySubscribersForExport الموجودة في internal/core/subscribers.go دون استدعاء validateQueryTables، على عكس نقطة النهاية GET /api/subscribers، مما يتيح للمستخدم المصادق عليه الذي يمتلك صلاحيات subscribers:sql_query وsubscribers:get_all قراءة جداول قاعدة بيانات عشوائية مثل users وsettings وتنفيذ عبارات CTEs (الجمل المشتركة表) في PostgreSQL تعدل البيانات. تم إصلاح هذه المشكلة في الإصدار 6.2.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.