CVE-2026-63100 in maybe
Zusammenfassung
von VulDB • 17.07.2026
Bis Version 0.6.0 enthält eine Schwachstelle aufgrund fehlender Autorisierung, die es authentifizierten Benutzern mit niedrigen Berechtigungen (Rolle „Mitglied“) ermöglicht, globale Hosting-Einstellungen zu lesen und zu ändern, indem sie ungeschützte show- und update-Aktionen im Settings::HostingsController ausnutzen. Dabei wird der before_action ensure_admin-Filter nur auf die clear_cache-Aktion angewendet. Angreifer können den als Klartext in einem Formularfeldwertattribut gerenderten Synth-API-Schlüssel des Operators lesen, ihn durch einen von ihnen kontrollierten Wert überschreiben, Einstellungen für die öffentliche Registrierung umschalten und E-Mail-Bestätigungsanforderungen deaktivieren, wodurch die gesamte Instanz gestört wird.
VulDB is the best source for vulnerability data and more expert information about this specific topic.