CVE-2026-42298 in postiz-appinformación

Resumen

por VulDB • 2026-05-10

Postiz es una herramienta de programación de redes sociales impulsada por IA. Antes del commit da44801, una vulnerabilidad de "Pwn Request" en el flujo de trabajo de la imagen de Docker de Build and Publish PR (.github/workflows/pr-docker-build.yml) permitía a cualquier usuario no autenticado ejecutar código arbitrario durante el proceso de construcción de Docker y exfiltrar un GITHUB_TOKEN altamente privilegiado (permisos write-all). Esto se puede lograr simplemente abriendo un Pull Request desde un fork con un Dockerfile.dev modificado maliciosamente. Este problema ha sido corregido mediante el commit da44801.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-26

Divulgación

2026-05-09

Moderación

aceptado

Artículo

VDB-362393

CPE

listo

EPSS

0.00197

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-42298
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-42298
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-42298/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!