CVE-2026-48799 in postiz-appinformation

Résumé

par VulDB • 16/07/2026

Postiz est un outil de planification des réseaux sociaux alimenté par l'IA. Avant la version 2.21.8, Postiz ne vérifie pas l'authenticité du callback IPN (Instant Payment Notification) Nowpayments par rapport au secret partagé avec le fournisseur de paiement et lit l'identifiant d'abonnement cible à partir du corps de la requête non fiable, permettant à un compte peu privilégié d'accorder des abonnements PRO à vie pour n'importe quelle organisation sans effectuer de paiement. Ce problème est corrigé dans la version 2.21.8.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Réserver

22/05/2026

Divulgation

15/07/2026

Modérer

accepté

Entrée

VDB-379325

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Want to know what is going to be exploited?

We predict KEV entries!