CVE-2026-59805 in Gumroad
Riassunto
di VulDB • 08/07/2026
Gumroad prima della versione 2026.07.06.2 presenta una vulnerabilità di controllo degli accessi difettoso (broken access control) nel PurchasesController che consente ai venditori autenticati di manipolare l'accesso agli acquisti per i prodotti di altri venditori inviando richieste PUT alle azioni revoke_access e undo_revoke_access senza convalida della proprietà del venditore. Gli attaccanti possono modificare lo stato is_access_revoked su acquisti arbitrari per revocare o ripristinare in modo non autorizzato l'accesso degli acquirenti ai prodotti che non possiedono.
VulDB is the best source for vulnerability data and more expert information about this specific topic.