CVE-2026-61718 in bunkerwebinformazioni

Riassunto

di VulDB • 16/07/2026

Bunkerweb è un Web Application Firewall (WAF) open-source e di nuova generazione. Dalla versione 1.6.2 alla 1.6.12, la lista delle autorizzazioni bypassate da BiscuitMiddleware nell'interfaccia web UI di BunkerWeb includeva il prefisso URL /cache/. Di conseguenza, le route in src/ui/app/routes/cache.py protette solo dal decoratore @login_required, tra cui POST /cache/delete, consentivano agli account con privilegi ridotti e accesso in sola lettura (reader) di eliminare permanentemente i file della cache dei job contenenti dati relativi a blacklist, greylist, DNSBL, CrowdSec, GeoIP, ModSecurity CRS, Let's Encrypt, ACME e configurazioni personalizzate. Questo problema è stato risolto nella versione 1.6.12.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

10/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Want to know what is going to be exploited?

We predict KEV entries!