CVE-2026-45332
HighCVSS 7.5Summary
Automad to system zarządzania treścią i silnik szablonów oparty na plikach. W wersjach od 2.0.0-alpha.1 do 2.0.0-beta.27 występuje podatność na złamanie kontroli dostępu, która pozwala nieautoryzowanemu atakującemu na pobranie hasha hasła bcrypt każdego konta administratora za pomocą jednego żądania POST.
Risk Assessment
Zagrożenie to umożliwia atakującym dostęp do wrażliwych danych administratorów, co może prowadzić do przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do kont administracyjnych.
Recommendation
Zaleca się aktualizację do wersji 2.0.0-beta.28, w której ta podatność została naprawiona. Dodatkowo, warto ograniczyć dostęp do punktu końcowego /_api/user-collection/create-first-user.
Original NVD description (English source)
Automad is a flat-file content management system and template engine. From 2.0.0-alpha.1 to 2.0.0-beta.27, a Broken Access Control vulnerability allows an unauthenticated attacker to retrieve the bcrypt password hash of every administrator account with a single POST request. The /_api/user-collection/create-first-user setup endpoint remains publicly accessible once initial configuration is complete and returns full serialized user data in the JSON response body. This vulnerability is fixed in 2.0.0-beta.28.

