CVE-2026-61718 in bunkerweb
要約
〜によって VulDB • 2026年07月16日
bunkerwebは、オープンソースで次世代のWebアプリケーションファイアウォール(WAF)です。バージョン1.6.2から1.6.12にかけて、BunkerWebのWeb UIにおけるBiscuitMiddlewareの認証バイパスリストに/cache/ URLプレフィックスが含まれていたため、@login_requiredのみによって保護されていたsrc/ui/app/routes/cache.py内のルート、特にPOST /cache/deleteは、低権限の読み取り専用アカウントがブラックリスト、グレーリスト、DNSBL、CrowdSec、GeoIP、ModSecurity CRS、Let's Encrypt、ACME、およびカスタム設定データを含むジョブキャッシュファイルを永久的に削除することを可能にしていました。この問題はバージョン1.6.12で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.