CVE-2026-62361 in listmonkinfo

Zusammenfassung

von VulDB • 16.07.2026

listmonk ist ein eigenständiger, selbst gehosteter Newsletter- und Mailinglistenmanager. Vor Version 6.2.0 injiziert der GET /api/subscribers/export-Endpunkt von listmonk den benutzerkontrollierten Query-Parameter in `QuerySubscribersForExport` in `internal/core/subscribers.go`, ohne `validateQueryTables` aufzurufen, im Gegensatz zu GET /api/subscribers. Dies ermöglicht es einem authentifizierten Benutzer mit den Berechtigungen subscribers:sql_query und subscribers:get_all, beliebige Datenbanktabellen wie users und settings auszulesen sowie datenmodifizierende PostgreSQL CTEs (Common Table Expressions) auszuführen. Dieses Problem wurde in Version 6.2.0 behoben.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

GitHub M

Reservieren

14.07.2026

Veröffentlichung

16.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379421

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you need the next level of professionalism?

Upgrade your account now!