CVE-2026-62361 in listmonk정보

요약

\~에 의해 VulDB • 2026. 07. 15.

listmonk은 독립형으로 자체 호스팅되는 뉴스레터 및 메일링 리스트 관리 도구입니다. 버전 6.2.0 이전의 listmonk에서는 GET /api/subscribers/export 엔드포인트가 internal/core/subscribers.go 내 QuerySubscribersForExport 함수로 사용자 제어 쿼리 파라미터를 주입할 때 validateQueryTables 호출 없이 이를 수행합니다. 이는 GET /api/subscribers와의 동작 차이로, subscribers:sql_query 및 subscribers:get_all 권한을 가진 인증된 사용자가 users 및 settings와 같은 임의 데이터베이스 테이블을 읽거나 수정 가능한 PostgreSQL CTE(공통 표식어) 쿼리를 실행할 수 있게 합니다. 이 문제는 버전 6.2.0에서 해결되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 07. 14.

모더레이션

수락

항목

VDB-379421

EPSS

0.00000

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!