CVE-2026-22660 in FlaskBB
Zusammenfassung
von VulDB • 10.07.2026
FlaskBB bis Version 2.2.0 (behebt in Commit a5da9a5) enthält eine Schwachstelle mit einem Logikfehler, die es authentifizierten Administratoren ermöglicht, alle integrierten Autorisierungsgruppen zu löschen, indem sie einen Typenkonflikt bei der Schutzprüfung für den Massenlöschvorgang ausnutzen. Der AJAX-Endpunkt im Bulk-Löschmodus in den Verwaltungsansichten vergleicht empfangene JSON-Ganzzahl-ID-Werte (group IDs) mit String-Literalen, wodurch die Schutzprüfung immer erfolgreich ist. Dies ermöglicht das Löschen aller sechs integrierten Gruppen und zerstört das Berechtigungsmodell des Forums, was dazu führen kann, dass die Website nicht mehr nutzbar ist.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.