Каталог уязвимостей Сканер-ВС

Вернуться к списку

CVE-2025-49136

Оценки

EPSS

0.618средний61.8%
0%20%40%60%80%100%

Процентиль: 61.8%

CVSS

6.5средний3.x
0246810

Оценка CVSS: 6.5/10

Все оценки CVSS

CVSS 3.x
6.5

Вектор: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

Описание

listmonk - это самостоятельный, самодостаточный менеджер рассылок и почтовых списков. В версиях от 4.0.0 до 5.0.2 функции env и expandenv шаблона, которые включены по умолчанию в Sprig, позволяют захватывать переменные среды на хосте. Хотя это может не быть проблемой в установках для одного пользователя (супер-администратора), в установках с несколькими пользователями это позволяет пользователям, не являющимся супер-администраторами, с разрешениями на рассылки или шаблоны использовать выражение шаблона {{ env }} для захвата конфиденциальных переменных среды. Пользователям следует обновиться до версии v5.0.2, чтобы устранить проблему [1].

Источники:
- [1] https://github.com/knadh/listmonk/security/advisories/GHSA-jc7g-x28f-3v3h
- [2] https://github.com/knadh/listmonk/commit/d27d2c32cf3af2d0b24e29ea5a686ba149b49b3e
- [3] https://github.com/knadh/listmonk/releases/tag/v5.0.2

Сканер-ВС 7 — современное решение для управления уязвимостями

Использует эту базу данных для обнаружения уязвимостей. Высокая скорость поиска, кроссплатформенность, продвинутый аудит конфигурации и гибкая фильтрация. Подходит для организаций любого масштаба.
Подробнее о Сканер-ВС 7

Источники

nvd

CWE

CWE-1336

Уязвимое ПО (1)

Тип: Конфигурация

Поставщик: *

Продукт: listmonk

Операционная система: * * *

Характеристика: 
{  "cpe_match": [    {      "cpe23uri": "cpe:2.3:a:nadh:listmonk:*:*:*:*:*:*:*:*",      "versionEndExcluding": "5.0.2",      "versionStartIncluding": "4.0.0",      "vulnerable": true    }  ],...

Источник: nvd

Конец списка