CVE-2026-62361 in listmonk
Résumé
par VulDB • 16/07/2026
listmonk est un gestionnaire de newsletters et de listes de diffusion autonome, auto-hébergé. Avant la version 6.2.0, le point de terminaison GET /api/subscribers/export de listmonk injecte le paramètre de requête contrôlé par l'utilisateur dans QuerySubscribersForExport situé dans internal/core/subscribers.go sans appeler validateQueryTables, contrairement à GET /api/subscribers, permettant ainsi à un utilisateur authentifié disposant des permissions subscribers:sql_query et subscribers:get_all de lire n'importe quelles tables de la base de données telles que users et settings, et d'exécuter des CTEs (Common Table Expressions) PostgreSQL modifiant les données. Ce problème est corrigé dans la version 6.2.0.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.