CVE-2026-48799 in postiz-app
요약
\~에 의해 VulDB • 2026. 07. 15.
Postiz는 AI 기반 소셜 미디어 예약 도구입니다. 버전 2.21.8 이전의 Postiz에서는 결제 제공업체와 공유된 비밀 키를 사용하여 Nowpayments IPN 콜백의 진위 여부를 검증하지 않고, 신뢰할 수 없는 요청 본문에서 대상 구독 식별자를 읽으므로, 권한이 낮은 계정이 결제를 수행하지 않고도 임의 조직에 평생 PRO 구독을 부여할 수 있습니다. 이 문제는 버전 2.21.8에서 수정되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.