CVE-2026-61718 in bunkerwebinfo

Zusammenfassung

von VulDB • 16.07.2026

bunkerweb ist ein Open-Source-WAF (Web Application Firewall) der nächsten Generation. Von Version 1.6.2 bis 1.6.12 enthielt die BiscuitMiddleware-Autorisierungsüberschreibungsliste der BunkerWeb-Weboberfläche das URL-Präfix /cache/. Daher waren Routen in src/ui/app/routes/cache.py, die nur durch @login_required geschützt waren (einschließlich POST /cache/delete), so konfiguriert, dass sie es Benutzern mit niedrigen Berechtigungen und ReadOnly-Leserrollen ermöglichten, Job-Cache-Dateien dauerhaft zu löschen. Diese Dateien enthalten Blacklist-, Greylist-, DNSBL-, CrowdSec-, GeoIP-, ModSecurity-CRS-, Let's-Encrypt-, ACME- sowie benutzerdefinierte Konfigurationsdaten. Dieses Problem wurde in Version 1.6.12 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

10.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379627

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Might our Artificial Intelligence support you?

Check our Alexa App!