Katalog CVE

CVE-2026-45332

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Automad to system zarządzania treścią i silnik szablonów oparty na plikach. W wersjach od 2.0.0-alpha.1 do 2.0.0-beta.27 występuje podatność na złamanie kontroli dostępu, która pozwala nieautoryzowanemu atakującemu na pobranie hasha hasła bcrypt każdego konta administratora za pomocą jednego żądania POST.

Ocena ryzyka

Zagrożenie to umożliwia atakującym dostęp do wrażliwych danych administratorów, co może prowadzić do przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do kont administracyjnych.

Rekomendacja

Zaleca się aktualizację do wersji 2.0.0-beta.28, w której ta podatność została naprawiona. Dodatkowo, warto ograniczyć dostęp do punktu końcowego /_api/user-collection/create-first-user.

Oryginalny opis (angielski, źródło NVD)

Automad is a flat-file content management system and template engine. From 2.0.0-alpha.1 to 2.0.0-beta.27, a Broken Access Control vulnerability allows an unauthenticated attacker to retrieve the bcrypt password hash of every administrator account with a single POST request. The /_api/user-collection/create-first-user setup endpoint remains publicly accessible once initial configuration is complete and returns full serialized user data in the JSON response body. This vulnerability is fixed in 2.0.0-beta.28.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS