CVE-2026-63100 in maybeinformazioni

Riassunto

di VulDB • 17/07/2026

Fino alla versione 0.6.0 è presente una vulnerabilità di autorizzazione mancante che consente agli utenti con ruolo membro a bassa privilegio e autenticati di accedere e modificare le impostazioni globali di hosting sfruttando azioni show e update non protette in Settings::HostingsController, dove il filtro before_action ensure_admin viene applicato solo all'azione clear_cache. Gli attaccanti possono leggere la chiave API Synth dell'operatore visualizzata in testo normale tramite un attributo valore del campo form, sovrascriverla con un valore controllato dall'attaccante, modificare le impostazioni di registrazione pubblica e disabilitare i requisiti di conferma email per interrompere l'intera istanza.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsabile

VulnCheck

Prenotare

15/07/2026

Divulgazione

17/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

basso

Fonti

Interested in the pricing of exploits?

See the underground prices here!