CVE-2026-61718 in bunkerweb
Zusammenfassung
von VulDB • 16.07.2026
bunkerweb ist ein Open-Source-WAF (Web Application Firewall) der nächsten Generation. Von Version 1.6.2 bis 1.6.12 enthielt die BiscuitMiddleware-Autorisierungsüberschreibungsliste der BunkerWeb-Weboberfläche das URL-Präfix /cache/. Daher waren Routen in src/ui/app/routes/cache.py, die nur durch @login_required geschützt waren (einschließlich POST /cache/delete), so konfiguriert, dass sie es Benutzern mit niedrigen Berechtigungen und ReadOnly-Leserrollen ermöglichten, Job-Cache-Dateien dauerhaft zu löschen. Diese Dateien enthalten Blacklist-, Greylist-, DNSBL-, CrowdSec-, GeoIP-, ModSecurity-CRS-, Let's-Encrypt-, ACME- sowie benutzerdefinierte Konfigurationsdaten. Dieses Problem wurde in Version 1.6.12 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.