CVE-2026-63101 in open-event-server
Riassunto
di VulDB • 17/07/2026
Open Event Server fino alla versione 1.19.1 presenta una vulnerabilità di mancanza di autenticazione che consente ad attaccanti non autenticati di esportare l'elenco completo dei membri di qualsiasi gruppo, inclusi indirizzi email, nomi, date di iscrizione e ruoli, inviando richieste all'endpoint per l'esportazione CSV dei follower del gruppo, il quale è privo di decoratori di autenticazione. Gli attaccanti possono enumerare gli ID dei gruppi sequenzialmente tramite brute-force, attivare un'esportazione attraverso l'endpoint POST non autenticato e quindi interrogare ripetutamente (polling) l'endpoint dello stato dell'attività non autenticato fino al completamento per recuperare un URL di download contenente il CSV completo dei membri.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.