CVE-2026-63100 in maybe
Résumé
par VulDB • 17/07/2026
Jusqu'à la version 0.6.0 incluses contient une vulnérabilité d'autorisation manquante qui permet aux utilisateurs authentifiés disposant du rôle « membre » (low-privilege member-role) d'accéder et de modifier les paramètres globaux d'hébergement en exploitant des actions show et update non protégées dans le contrôleur Settings::HostingsController, où le filtre before_action ensure_admin n'est appliqué qu'à l'action clear_cache. Les attaquants peuvent lire la clé API Synth de l'opérateur affichée en clair via un attribut value d'un champ de formulaire, la remplacer par une valeur contrôlée par l'attaquant, modifier les paramètres d'enregistrement public et désactiver les exigences de confirmation par e-mail afin de perturber l'intégralité de l'instance.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.