CVE-2026-45332
WysokieCVSS 7.5Streszczenie
Automad to system zarządzania treścią i silnik szablonów oparty na plikach. W wersjach od 2.0.0-alpha.1 do 2.0.0-beta.27 występuje podatność na złamanie kontroli dostępu, która pozwala nieautoryzowanemu atakującemu na pobranie hasha hasła bcrypt każdego konta administratora za pomocą jednego żądania POST.
Ocena ryzyka
Zagrożenie to umożliwia atakującym dostęp do wrażliwych danych administratorów, co może prowadzić do przejęcia kontroli nad systemem. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do kont administracyjnych.
Rekomendacja
Zaleca się aktualizację do wersji 2.0.0-beta.28, w której ta podatność została naprawiona. Dodatkowo, warto ograniczyć dostęp do punktu końcowego /_api/user-collection/create-first-user.
Oryginalny opis (angielski, źródło NVD)
Automad is a flat-file content management system and template engine. From 2.0.0-alpha.1 to 2.0.0-beta.27, a Broken Access Control vulnerability allows an unauthenticated attacker to retrieve the bcrypt password hash of every administrator account with a single POST request. The /_api/user-collection/create-first-user setup endpoint remains publicly accessible once initial configuration is complete and returns full serialized user data in the JSON response body. This vulnerability is fixed in 2.0.0-beta.28.

