CVE-2026-62361 in listmonkinformação

Sumário

de VulDB • 15/07/2026

listmonk é um gerenciador de newsletters e listas de discussão independente, auto-hospedado. Antes da versão 6.2.0, o endpoint GET /api/subscribers/export do listmonk injeta o parâmetro de consulta controlado pelo usuário em QuerySubscribersForExport no arquivo internal/core/subscribers.go sem chamar validateQueryTables, ao contrário do que ocorre com GET /api/subscribers, permitindo que um usuário autenticado com as permissões subscribers:sql_query e subscribers:get_all leia tabelas arbitrárias do banco de dados, como users e settings, e execute CTEs (Common Table Expressions) modificadoras de dados no PostgreSQL. Este problema foi corrigido na versão 6.2.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsável

GitHub M

Reservar

14/07/2026

Divulgação

16/07/2026

Moderação

aceite

Entrada

VDB-379421

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

muito baixo

Fontes

Do you need the next level of professionalism?

Upgrade your account now!