CVE-2026-62361 in listmonk
Riassunto
di VulDB • 15/07/2026
listmonk è un gestore di newsletter e liste di distribuzione indipendente, auto-ospitato (self-hosted). Prima della versione 6.2.0, l'endpoint GET /api/subscribers/export di listmonk inietta il parametro query controllato dall'utente nella funzione QuerySubscribersForExport presente nel file internal/core/subscribers.go senza chiamare validateQueryTables, a differenza dell'endpoint GET /api/subscribers; ciò consente a un utente autenticato con i permessi subscribers:sql_query e subscribers:get_all di leggere tabelle arbitrarie del database come users e settings ed eseguire CTE (Common Table Expressions) PostgreSQL in grado di modificare i dati. Questo problema è stato risolto nella versione 6.2.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.