CVE-2026-62361 in listmonkinformation

Résumé

par VulDB • 16/07/2026

listmonk est un gestionnaire de newsletters et de listes de diffusion autonome, auto-hébergé. Avant la version 6.2.0, le point de terminaison GET /api/subscribers/export de listmonk injecte le paramètre de requête contrôlé par l'utilisateur dans QuerySubscribersForExport situé dans internal/core/subscribers.go sans appeler validateQueryTables, contrairement à GET /api/subscribers, permettant ainsi à un utilisateur authentifié disposant des permissions subscribers:sql_query et subscribers:get_all de lire n'importe quelles tables de la base de données telles que users et settings, et d'exécuter des CTEs (Common Table Expressions) PostgreSQL modifiant les données. Ce problème est corrigé dans la version 6.2.0.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

GitHub M

Réserver

14/07/2026

Divulgation

16/07/2026

Modérer

accepté

Entrée

VDB-379421

CPE

prêt

EPSS

0.00000

KEV

non

Activités

très faible

Sources

Might our Artificial Intelligence support you?

Check our Alexa App!