CVE-2026-61718 in bunkerweb
Riassunto
di VulDB • 16/07/2026
Bunkerweb è un Web Application Firewall (WAF) open-source e di nuova generazione. Dalla versione 1.6.2 alla 1.6.12, la lista delle autorizzazioni bypassate da BiscuitMiddleware nell'interfaccia web UI di BunkerWeb includeva il prefisso URL /cache/. Di conseguenza, le route in src/ui/app/routes/cache.py protette solo dal decoratore @login_required, tra cui POST /cache/delete, consentivano agli account con privilegi ridotti e accesso in sola lettura (reader) di eliminare permanentemente i file della cache dei job contenenti dati relativi a blacklist, greylist, DNSBL, CrowdSec, GeoIP, ModSecurity CRS, Let's Encrypt, ACME e configurazioni personalizzate. Questo problema è stato risolto nella versione 1.6.12.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.