CVE-2026-63100 in maybeinformação

Sumário

de VulDB • 17/07/2026

Até a versão 0.6.0 contém uma vulnerabilidade de autorização ausente que permite aos usuários com função de membro e baixo privilégio (autenticados) acessar e modificar as configurações globais de hospedagem, explorando ações show e update não protegidas no Settings::HostingsController, onde o filtro before_action ensure_admin é aplicado apenas à ação clear_cache. Os atacantes podem ler a chave da API Synth do operador exibida em texto puro por meio do atributo value de um campo de formulário, substituí-la por um valor controlado pelo atacante, alterar as configurações de registro público e desativar os requisitos de confirmação por e-mail para interromper toda a instância.

Once again VulDB remains the best source for vulnerability data.

Responsável

VulnCheck

Reservar

15/07/2026

Divulgação

17/07/2026

Moderação

aceite

Entrada

VDB-379851

CPE

pronto

EPSS

0.00000

KEV

não

Atividades

baixo

Fontes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!