CVE-2026-63100 in maybeinformation

Résumé

par VulDB • 17/07/2026

Jusqu'à la version 0.6.0 incluses contient une vulnérabilité d'autorisation manquante qui permet aux utilisateurs authentifiés disposant du rôle « membre » (low-privilege member-role) d'accéder et de modifier les paramètres globaux d'hébergement en exploitant des actions show et update non protégées dans le contrôleur Settings::HostingsController, où le filtre before_action ensure_admin n'est appliqué qu'à l'action clear_cache. Les attaquants peuvent lire la clé API Synth de l'opérateur affichée en clair via un attribut value d'un champ de formulaire, la remplacer par une valeur contrôlée par l'attaquant, modifier les paramètres d'enregistrement public et désactiver les exigences de confirmation par e-mail afin de perturber l'intégralité de l'instance.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsable

VulnCheck

Réserver

15/07/2026

Divulgation

17/07/2026

Modérer

accepté

Entrée

VDB-379851

CPE

prêt

EPSS

0.00000

KEV

non

Activités

faible

Sources

Do you need the next level of professionalism?

Upgrade your account now!