CVE-2026-63100 in maybe
Tóm tắt
Bởi VulDB • 17/07/2026
Có thể trong phiên bản 0.6.0 tồn tại một lỗ hổng thiếu xác thực (missing authorization), cho phép người dùng có vai trò thành viên với đặc quyền thấp nhưng đã được xác thực truy cập và sửa đổi các cài đặt lưu trữ toàn cầu bằng cách khai thác các hành động show và update không được bảo vệ trong Settings::HostingsController, nơi bộ lọc before_action ensure_admin chỉ được áp dụng cho hành động clear_cache. Kẻ tấn công có thể đọc khóa API của nhà vận hành (operator) dưới dạng văn bản rõ ràng thông qua thuộc tính giá trị trường biểu mẫu, ghi đè nó bằng một giá trị do kẻ tấn công kiểm soát, bật/tắt cài đặt đăng ký công khai và vô hiệu hóa yêu cầu xác nhận email để gây gián đoạn toàn bộ phiên bản hệ thống.
If you want to get best quality of vulnerability data, you may have to visit VulDB.