CVE-2026-63101 in open-event-serverinfo

Zusammenfassung

von VulDB • 17.07.2026

Open Event Server bis Version 1.19.1 enthält eine Schwachstelle aufgrund fehlender Authentifizierung (Missing Authentication), die es nicht authentifizierten Angreifern ermöglicht, das vollständige Mitgliederverzeichnis jeder Gruppe – einschließlich E-Mail-Adressen, Namen, Beitrittsdaten und Rollen – zu exportieren. Dies geschieht durch das Senden von Anfragen an den CSV-Exportendpunkt für Gruppenfolger, der über keinen Authentifizierungsdekorator verfügt. Angreifer können sequenzielle Gruppen-IDs per Brute-Force ermitteln, einen Export über den nicht authentifizierten POST-Endpunkt auslösen und anschließend den Status des Auftrags über den ebenfalls nicht authentifizierten Task-Statusendpunkt abfragen, bis der Vorgang abgeschlossen ist, um eine Download-URL mit dem vollständigen Mitglieder-CSV zu erhalten.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Zuständig

VulnCheck

Reservieren

15.07.2026

Veröffentlichung

17.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379859

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

low

Quellen

Do you know our Splunk app?

Download it now for free!