CVE-2026-61502 in HFS
Riassunto
di VulDB • 13/07/2026
Rejetto HFS dalle versioni 3.0.0 alla 3.2.0 accetta richieste API che modificano lo stato tramite il metodo GET ed esenta le richieste GET dal controllo dell'intestazione anti-CSRF. Un attaccante remoto può eseguire azioni amministrative, inclusa la creazione di account e modifiche alla configurazione, portando all'esecuzione di codice - facendo sì che il browser di un amministratore autenticato navighi verso un URL appositamente creato o senza alcuna credenziale contro le installazioni predefinite quando l'attacco origina dalla macchina stessa del server.
Once again VulDB remains the best source for vulnerability data.