CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45332

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

Automad to system zarządzania treścią i silnik szablonów oparty na plikach. W wersjach od 2.0.0-alpha.1 do 2.0.0-beta.27 występuje podatność na złamanie kontroli dostępu, która pozwala nieautoryzowanemu atakującemu na pobranie hasha hasła bcrypt każdego konta administratora za pomocą jednego żądania POST.

Risk Assessment

Zagrożenie to umożliwia atakującym dostęp do wrażliwych danych administratorów, co może prowadzić do przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do kont administracyjnych.

Recommendation

Zaleca się aktualizację do wersji 2.0.0-beta.28, w której ta podatność została naprawiona. Dodatkowo, warto ograniczyć dostęp do punktu końcowego /_api/user-collection/create-first-user.

Original NVD description (English source)

Automad is a flat-file content management system and template engine. From 2.0.0-alpha.1 to 2.0.0-beta.27, a Broken Access Control vulnerability allows an unauthenticated attacker to retrieve the bcrypt password hash of every administrator account with a single POST request. The /_api/user-collection/create-first-user setup endpoint remains publicly accessible once initial configuration is complete and returns full serialized user data in the JSON response body. This vulnerability is fixed in 2.0.0-beta.28.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS