Katalog CVE

CVE-2026-13164

WysokieCVSS 8.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.41%

Percentyl 32 — wyżej niż 32% wszystkich znanych CVE

Streszczenie

Brak uwierzytelnienia dla krytycznej funkcji w MailerUp <1.0.1 umożliwia zdalnemu, nieautoryzowanemu atakującemu samodzielne rejestrowanie konta. Punkt końcowy POST /api/auth/register/ stosuje uprawnienia AllowAny bez weryfikacji e-mail, CAPTCHA lub zatwierdzenia przez administratora.

Ocena ryzyka

Atakujący może stworzyć konto, które pozwala na dostęp do wszystkich przechowywanych wiadomości e-mail, co prowadzi do pełnego ujawnienia danych przechowywanych w systemie.

Rekomendacja

Zaleca się wprowadzenie mechanizmów weryfikacji, takich jak weryfikacja e-mail, CAPTCHA oraz zatwierdzenie przez administratora dla procesu rejestracji.

Oryginalny opis (angielski, źródło NVD)

Missing Authentication for Critical Function (CWE-306) in the RegisterView (apps/accounts/views.py), exposed at POST /api/auth/register/, in MailerUp <1.0.1 allows a remote, unauthenticated attacker to self-register a working account on instances where registration is intended to be restricted, because the endpoint applies the AllowAny permission with no email verification, CAPTCHA, or administrator approval. Any account created this way can read all email stored by the instance, resulting in full disclosure of stored messages to an arbitrary unauthenticated attacker

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS