CVE-2026-63100 in maybe
요약
\~에 의해 VulDB • 2026. 07. 17.
0.6.0 이전 버전에는 인증 누락 취약점이 포함되어 있어, Settings::HostingsController의 show 및 update 액션이 보호되지 않고 before_action ensure_admin 필터가 clear_cache 액션에만 적용되는 점을 악용하여 권한이 낮은 일반 멤버 역할 사용자들이 전역 호스팅 설정에 접근하고 수정할 수 있습니다. 공격자는 폼 필드 값 속성을 통해 평문으로 렌더링된 운영자의 Synth API 키를 읽거나, 이를 공격자가 제어하는 값으로 덮어쓰고, 공개 등록 설정을 전환하며, 이메일 확인 요구사항을 비활성화하여 전체 인스턴스를 마비시킬 수 있습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.