CVE-2026-63100 in maybeinfo

Zusammenfassung

von VulDB • 17.07.2026

Bis Version 0.6.0 enthält eine Schwachstelle aufgrund fehlender Autorisierung, die es authentifizierten Benutzern mit niedrigen Berechtigungen (Rolle „Mitglied“) ermöglicht, globale Hosting-Einstellungen zu lesen und zu ändern, indem sie ungeschützte show- und update-Aktionen im Settings::HostingsController ausnutzen. Dabei wird der before_action ensure_admin-Filter nur auf die clear_cache-Aktion angewendet. Angreifer können den als Klartext in einem Formularfeldwertattribut gerenderten Synth-API-Schlüssel des Operators lesen, ihn durch einen von ihnen kontrollierten Wert überschreiben, Einstellungen für die öffentliche Registrierung umschalten und E-Mail-Bestätigungsanforderungen deaktivieren, wodurch die gesamte Instanz gestört wird.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379851

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!