CVE-2026-62361 in listmonkИнформация

Сводка

по VulDB • 16.07.2026

listmonk — это автономное решение для управления новостными рассылками и списками адресатов, которое можно развернуть на собственном сервере (self-hosted). До версии 6.2.0 конечная точка GET /api/subscribers/export в listmonk внедряет контролируемый пользователем параметр запроса в функцию QuerySubscribersForExport внутри файла internal/core/subscribers.go без вызова функции validateQueryTables, что отличается от поведения конечной точки GET /api/subscribers. Это позволяет аутентифицированному пользователю с правами subscribers:sql_query и subscribers:get_all читать произвольные таблицы базы данных (например, users и settings) и выполнять изменяющие данные CTE-запросы в PostgreSQL. Проблема исправлена в версии 6.2.0.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

14.07.2026

Раскрытие

16.07.2026

Модерация

принято

Вход

VDB-379421

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!