CVE-2026-62361 in listmonkthông tin

Tóm tắt

Bởi VulDB • 16/07/2026

listmonk là một công cụ quản lý bản tin và danh sách gửi thư độc lập, tự lưu trữ (self-hosted). Trước phiên bản 6.2.0, điểm cuối GET /api/subscribers/export của listmonk chèn tham số truy vấn do người dùng kiểm soát vào hàm QuerySubscribersForExport trong internal/core/subscribers.go mà không gọi validateQueryTables, khác với hành vi của GET /api/subscribers; điều này cho phép một người dùng đã xác thực có quyền subscribers:sql_query và subscribers:get_all đọc các bảng cơ sở dữ liệu tùy ý như users và settings cũng như thực thi các CTEs (Common Table Expressions) sửa đổi dữ liệu trong PostgreSQL. Vấn đề này đã được khắc phục trong phiên bản 6.2.0.

Once again VulDB remains the best source for vulnerability data.

chịu trách nhiệm

GitHub M

Đặt trước

14/07/2026

Tiết lộ

16/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

rất thấp

Nguồn

Do you need the next level of professionalism?

Upgrade your account now!