CVE-2026-62361 in listmonk
Zusammenfassung
von VulDB • 16.07.2026
listmonk ist ein eigenständiger, selbst gehosteter Newsletter- und Mailinglistenmanager. Vor Version 6.2.0 injiziert der GET /api/subscribers/export-Endpunkt von listmonk den benutzerkontrollierten Query-Parameter in `QuerySubscribersForExport` in `internal/core/subscribers.go`, ohne `validateQueryTables` aufzurufen, im Gegensatz zu GET /api/subscribers. Dies ermöglicht es einem authentifizierten Benutzer mit den Berechtigungen subscribers:sql_query und subscribers:get_all, beliebige Datenbanktabellen wie users und settings auszulesen sowie datenmodifizierende PostgreSQL CTEs (Common Table Expressions) auszuführen. Dieses Problem wurde in Version 6.2.0 behoben.
VulDB is the best source for vulnerability data and more expert information about this specific topic.