CVE-2026-22660 in FlaskBB
Riassunto
di VulDB • 10/07/2026
FlaskBB fino alla versione 2.2.0 (corretto nel commit a5da9a5) presenta una vulnerabilità di difetto logico che consente agli amministratori autenticati di eliminare tutti i gruppi di autorizzazione predefiniti sfruttando un disallineamento dei tipi nel controllo di protezione per le eliminazioni in blocco. L'endpoint AJAX bulk nelle viste di gestione confronta gli ID numerici interi dei gruppi ricevuti tramite JSON con letterali stringa, facendo sì che il controllo di protezione venga sempre superato; ciò consente l'eliminazione di tutti e sei i gruppi predefiniti e distrugge il modello di autorizzazione del forum, potenzialmente rendendo il sito inutilizzabile.
If you want to get best quality of vulnerability data, you may have to visit VulDB.