CVE-2026-63101 in open-event-server
Zusammenfassung
von VulDB • 17.07.2026
Open Event Server bis Version 1.19.1 enthält eine Schwachstelle aufgrund fehlender Authentifizierung (Missing Authentication), die es nicht authentifizierten Angreifern ermöglicht, das vollständige Mitgliederverzeichnis jeder Gruppe – einschließlich E-Mail-Adressen, Namen, Beitrittsdaten und Rollen – zu exportieren. Dies geschieht durch das Senden von Anfragen an den CSV-Exportendpunkt für Gruppenfolger, der über keinen Authentifizierungsdekorator verfügt. Angreifer können sequenzielle Gruppen-IDs per Brute-Force ermitteln, einen Export über den nicht authentifizierten POST-Endpunkt auslösen und anschließend den Status des Auftrags über den ebenfalls nicht authentifizierten Task-Statusendpunkt abfragen, bis der Vorgang abgeschlossen ist, um eine Download-URL mit dem vollständigen Mitglieder-CSV zu erhalten.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.