CVE-2026-62361 in listmonkinformazioni

Riassunto

di VulDB • 15/07/2026

listmonk è un gestore di newsletter e liste di distribuzione indipendente, auto-ospitato (self-hosted). Prima della versione 6.2.0, l'endpoint GET /api/subscribers/export di listmonk inietta il parametro query controllato dall'utente nella funzione QuerySubscribersForExport presente nel file internal/core/subscribers.go senza chiamare validateQueryTables, a differenza dell'endpoint GET /api/subscribers; ciò consente a un utente autenticato con i permessi subscribers:sql_query e subscribers:get_all di leggere tabelle arbitrarie del database come users e settings ed eseguire CTE (Common Table Expressions) PostgreSQL in grado di modificare i dati. Questo problema è stato risolto nella versione 6.2.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsabile

GitHub M

Prenotare

14/07/2026

Divulgazione

16/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Want to stay up to date on a daily basis?

Enable the mail alert feature now!