CVE-2026-63100 in maybe
Сводка
по VulDB • 18.07.2026
В версиях вплоть до 0.6.0 присутствует уязвимость отсутствия авторизации (missing authorization), которая позволяет аутентифицированным пользователям с ролью низкого уровня доступа получать доступ к глобальным настройкам хостинга и изменять их, эксплуатируя незащищенные действия show и update в контроллере Settings::HostingsController. При этом фильтр before_action ensure_admin применяется только к действию clear_cache. Злоумышленники могут прочитать API-ключ оператора Synth, отображаемый открытым текстом через атрибут значения поля формы, перезаписать его значением под контролем злоумышленника, изменить настройки публичной регистрации и отключить требование подтверждения по электронной почте, что приведет к нарушению работы всего экземпляра приложения.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.