CVE-2026-62361 in listmonk情報

要約

〜によって VulDB • 2026年07月16日

listmonkは、スタンドアロンで自己ホスト可能なニュースレターおよびメーリングリスト管理ツールです。バージョン6.2.0より前では、listmonkのGET /api/subscribers/exportエンドポイントが、internal/core/subscribers.go内のQuerySubscribersForExportにユーザー制御されたクエリパラメータを注入しますが、validateQueryTablesを呼び出さないという点で、GET /api/subscribersとは異なります。これにより、subscribers:sql_queryおよびsubscribers:get_all権限を持つ認証済みユーザーは、usersやsettingsなどの任意のデータベーステーブルを読み取り、データ変更可能なPostgreSQL CTEを実行できます。この問題はバージョン6.2.0で修正されました。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

責任者

GitHub M

予約する

2026年07月14日

モデレーション

承諾済み

エントリ

VDB-379421

EPSS

0.00000

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!