CVE-2026-63100 in maybeИнформация

Сводка

по VulDB • 18.07.2026

В версиях вплоть до 0.6.0 присутствует уязвимость отсутствия авторизации (missing authorization), которая позволяет аутентифицированным пользователям с ролью низкого уровня доступа получать доступ к глобальным настройкам хостинга и изменять их, эксплуатируя незащищенные действия show и update в контроллере Settings::HostingsController. При этом фильтр before_action ensure_admin применяется только к действию clear_cache. Злоумышленники могут прочитать API-ключ оператора Synth, отображаемый открытым текстом через атрибут значения поля формы, перезаписать его значением под контролем злоумышленника, изменить настройки публичной регистрации и отключить требование подтверждения по электронной почте, что приведет к нарушению работы всего экземпляра приложения.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

VulnCheck

Резервировать

15.07.2026

Раскрытие

17.07.2026

Модерация

принято

Вход

VDB-379851

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!