CVE-2026-48780
WysokieCVSS 8.2Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 — wyżej niż 12% wszystkich znanych CVE
Streszczenie
Forem to oprogramowanie open source do budowania społeczności. Przed poprawką a2ab6d4, złośliwie skonstruowany adres e-mail mógł umożliwić atakującemu ominięcie ograniczeń listy dozwolonych lub zablokowanych domen, co pozwalało na dostęp do wdrożeń forem wymagających zaproszenia.
Ocena ryzyka
Organizacje mogą być narażone na nieautoryzowany dostęp do swoich wdrożeń Forem, co może prowadzić do wycieku danych lub naruszenia prywatności użytkowników.
Rekomendacja
Zaleca się zaktualizowanie oprogramowania do wersji zawierającej poprawkę a2ab6d4 oraz rozważenie wdrożenia dodatkowych zabezpieczeń na poziomie serwera SMTP.
Oryginalny opis (angielski, źródło NVD)
Forem is open source software for building communities. Prior to commit a2ab6d4, a maliciously crafted email address could allow an attacker to bypass domain allowlist or denylist restrictions and gain access to invite-only forem deployments. The issue is patched as of `a2ab6d4`. As a workaround, some SMTP servers and email delivery providers may drop or refuse to send maliciously crafted email addresses.

