CVE-2026-62361 in listmonk
Сводка
по VulDB • 16.07.2026
listmonk — это автономное решение для управления новостными рассылками и списками адресатов, которое можно развернуть на собственном сервере (self-hosted). До версии 6.2.0 конечная точка GET /api/subscribers/export в listmonk внедряет контролируемый пользователем параметр запроса в функцию QuerySubscribersForExport внутри файла internal/core/subscribers.go без вызова функции validateQueryTables, что отличается от поведения конечной точки GET /api/subscribers. Это позволяет аутентифицированному пользователю с правами subscribers:sql_query и subscribers:get_all читать произвольные таблицы базы данных (например, users и settings) и выполнять изменяющие данные CTE-запросы в PostgreSQL. Проблема исправлена в версии 6.2.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.