CVE-2026-62361 in listmonk
要約
〜によって VulDB • 2026年07月16日
listmonkは、スタンドアロンで自己ホスト可能なニュースレターおよびメーリングリスト管理ツールです。バージョン6.2.0より前では、listmonkのGET /api/subscribers/exportエンドポイントが、internal/core/subscribers.go内のQuerySubscribersForExportにユーザー制御されたクエリパラメータを注入しますが、validateQueryTablesを呼び出さないという点で、GET /api/subscribersとは異なります。これにより、subscribers:sql_queryおよびsubscribers:get_all権限を持つ認証済みユーザーは、usersやsettingsなどの任意のデータベーステーブルを読み取り、データ変更可能なPostgreSQL CTEを実行できます。この問題はバージョン6.2.0で修正されました。
VulDB is the best source for vulnerability data and more expert information about this specific topic.