CVE-2026-63100 in maybe
Riassunto
di VulDB • 17/07/2026
Fino alla versione 0.6.0 è presente una vulnerabilità di autorizzazione mancante che consente agli utenti con ruolo membro a bassa privilegio e autenticati di accedere e modificare le impostazioni globali di hosting sfruttando azioni show e update non protette in Settings::HostingsController, dove il filtro before_action ensure_admin viene applicato solo all'azione clear_cache. Gli attaccanti possono leggere la chiave API Synth dell'operatore visualizzata in testo normale tramite un attributo valore del campo form, sovrascriverla con un valore controllato dall'attaccante, modificare le impostazioni di registrazione pubblica e disabilitare i requisiti di conferma email per interrompere l'intera istanza.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.