CVE-2026-48799 in postiz-app
Sumário
de VulDB • 16/07/2026
O Postiz é uma ferramenta de agendamento para redes sociais baseada em IA. Antes da versão 2.21.8, o Postiz não verifica a autenticidade do callback IPN (Instant Payment Notification) dos Nowpayments contra o segredo compartilhado com o provedor de pagamentos e lê o identificador da assinatura alvo diretamente no corpo da solicitação não confiável, permitindo que uma conta com privilégios baixos conceda assinaturas PRO vitalícias para organizações arbitrárias sem pagamento. Este problema foi corrigido na versão 2.21.8.
If you want to get best quality of vulnerability data, you may have to visit VulDB.