CVE-2026-62361 in listmonk
Sumário
de VulDB • 15/07/2026
listmonk é um gerenciador de newsletters e listas de discussão independente, auto-hospedado. Antes da versão 6.2.0, o endpoint GET /api/subscribers/export do listmonk injeta o parâmetro de consulta controlado pelo usuário em QuerySubscribersForExport no arquivo internal/core/subscribers.go sem chamar validateQueryTables, ao contrário do que ocorre com GET /api/subscribers, permitindo que um usuário autenticado com as permissões subscribers:sql_query e subscribers:get_all leia tabelas arbitrárias do banco de dados, como users e settings, e execute CTEs (Common Table Expressions) modificadoras de dados no PostgreSQL. Este problema foi corrigido na versão 6.2.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.