CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45344

HighCVSS 8.1
Published: Updated: Translated: NVD NIST

Summary

LinkAce to samodzielnie hostowany archiwum do zbierania linków do stron internetowych. W wersjach przed 2.5.6, proces konfiguracji bazy danych na nieinicjalizowanych instancjach LinkAce akceptuje pola poświadczeń bazy danych kontrolowane przez atakującego i zapisuje je w pliku .env bez odpowiedniego zabezpieczenia.

Risk Assessment

Zdalny atakujący, który ma dostęp do punktów końcowych konfiguracji, może wstrzyknąć zmienne konfiguracyjne poczty i uzyskać możliwość wykonania poleceń, gdy aplikacja później wysyła wiadomości e-mail. To stwarza poważne ryzyko dla bezpieczeństwa aplikacji i danych użytkowników.

Recommendation

Zaleca się aktualizację do wersji 2.5.6 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt konfiguracji i zabezpieczeń aplikacji.

Original NVD description (English source)

LinkAce is a self-hosted archive to collect website links. Prior to 2.5.6, the setup database configuration flow on uninitialized LinkAce instances accepts attacker-controlled database credential fields and writes them back into .env without escaping. A remote attacker who can reach the setup endpoints and supply a database they control can inject mail configuration variables and achieve command execution when the application later sends mail. This vulnerability is fixed in 2.5.6.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS