CVE-2026-13164
WysokieCVSS 8.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 32 — wyżej niż 32% wszystkich znanych CVE
Streszczenie
Brak uwierzytelnienia dla krytycznej funkcji w MailerUp <1.0.1 umożliwia zdalnemu, nieautoryzowanemu atakującemu samodzielne rejestrowanie konta. Punkt końcowy POST /api/auth/register/ stosuje uprawnienia AllowAny bez weryfikacji e-mail, CAPTCHA lub zatwierdzenia przez administratora.
Ocena ryzyka
Atakujący może stworzyć konto, które pozwala na dostęp do wszystkich przechowywanych wiadomości e-mail, co prowadzi do pełnego ujawnienia danych przechowywanych w systemie.
Rekomendacja
Zaleca się wprowadzenie mechanizmów weryfikacji, takich jak weryfikacja e-mail, CAPTCHA oraz zatwierdzenie przez administratora dla procesu rejestracji.
Oryginalny opis (angielski, źródło NVD)
Missing Authentication for Critical Function (CWE-306) in the RegisterView (apps/accounts/views.py), exposed at POST /api/auth/register/, in MailerUp <1.0.1 allows a remote, unauthenticated attacker to self-register a working account on instances where registration is intended to be restricted, because the endpoint applies the AllowAny permission with no email verification, CAPTCHA, or administrator approval. Any account created this way can read all email stored by the instance, resulting in full disclosure of stored messages to an arbitrary unauthenticated attacker

