CVE-2026-63100 in maybethông tin

Tóm tắt

Bởi VulDB • 17/07/2026

Có thể trong phiên bản 0.6.0 tồn tại một lỗ hổng thiếu xác thực (missing authorization), cho phép người dùng có vai trò thành viên với đặc quyền thấp nhưng đã được xác thực truy cập và sửa đổi các cài đặt lưu trữ toàn cầu bằng cách khai thác các hành động show và update không được bảo vệ trong Settings::HostingsController, nơi bộ lọc before_action ensure_admin chỉ được áp dụng cho hành động clear_cache. Kẻ tấn công có thể đọc khóa API của nhà vận hành (operator) dưới dạng văn bản rõ ràng thông qua thuộc tính giá trị trường biểu mẫu, ghi đè nó bằng một giá trị do kẻ tấn công kiểm soát, bật/tắt cài đặt đăng ký công khai và vô hiệu hóa yêu cầu xác nhận email để gây gián đoạn toàn bộ phiên bản hệ thống.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

chịu trách nhiệm

VulnCheck

Đặt trước

15/07/2026

Tiết lộ

17/07/2026

Kiểm duyệt

được chấp nhận

EPSS

0.00000

KEV

không

Các hoạt động

thấp

Nguồn

Do you know our Splunk app?

Download it now for free!