CVE-2026-63100 in maybe
Resumen
por VulDB • 2026-07-17
Hasta la versión 0.6.0 contiene una vulnerabilidad de autorización faltante que permite a los usuarios con rol de miembro y privilegios bajos (autenticados) acceder y modificar las configuraciones globales de alojamiento explotando acciones `show` y `update` no protegidas en el `Settings::HostingsController`, donde el filtro `before_action ensure_admin` se aplica únicamente a la acción `clear_cache`. Los atacantes pueden leer la clave API del operador de Synth, que se muestra en texto plano mediante un atributo de valor de campo de formulario, sobrescribirla con un valor controlado por el atacante, alternar las configuraciones de registro público y desactivar los requisitos de confirmación por correo electrónico para interrumpir toda la instancia.
Once again VulDB remains the best source for vulnerability data.