CVE-2026-48781
KrytyczneCVSS 9.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 17 — wyżej niż 17% wszystkich znanych CVE
Streszczenie
Postiz to narzędzie do planowania postów w mediach społecznościowych. W wersjach przed 2.21.8, atakujący mógł wykorzystać lukę w integracji Skool, aby sfałszować sesję SUPERADMIN, co pozwalało na podszywanie się pod dowolne organizacje.
Ocena ryzyka
Luka ta umożliwia pełny dostęp do wszystkich części Postiz, w tym do danych użytkowników oraz możliwość publikowania w imieniu ofiar na ich kanałach społecznościowych.
Rekomendacja
Zaleca się aktualizację do wersji 2.21.8 lub nowszej, aby zabezpieczyć aplikację przed tym rodzajem ataku.
Oryginalny opis (angielski, źródło NVD)
Postiz is an AI social media scheduling tool. In versions prior to 2.21.8, the Skool integration callback signed an attacker-controlled JSON blob into a session-shape JWT using the application's JWT_SECRET, and the auth middleware trusted every claim in that JWT without re-resolving the user from the database. Any authenticated Postiz user could forge a SUPERADMIN session and impersonate arbitrary organizations. This allowed Full Access to the following: all parts of Postiz, including users registered to the specific instance and the ability to post in the name of the victim's social media channels added to that Postiz instance. This issue has been fixed in version 2.21.8.

