CVE-2026-45332
Automad Broken Access Control: unauthenticated exposure of administrator bcrypt password hashes and TOTP secrets via public API endpoint
Vexday Risk Score
41Atenção
Decisão SSVC (CISA)
Attend
PoC disponível → acompanhar de perto
CVSS 7.5EPSS 0.3%KEV nãoPoC públicaNuclei —Metasploit —Patch —
Ciclo de vida
28 mai 2026Publicada no NVD
02 jun 2026PoC pública
Recomendação: Planejar correção próxima — já existe PoC pública.
Automad is a flat-file content management system and template engine. From 2.0.0-alpha.1 to 2.0.0-beta.27, a Broken Access Control vulnerability allows an unauthenticated attacker to retrieve the bcrypt password hash of every administrator account with a single POST request. The /_api/user-collection/create-first-user setup endpoint remains publicly accessible once initial configuration is complete and returns full serialized user data in the JSON response body. This vulnerability is fixed in 2.0.0-beta.28.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Produtos afetados
marcantondahmen · automadPoCs públicas encontradas — 1
githubgithub.com/lorenzocamilli/CVE-2026-45332-PoC★ 0⚠ Recursos públicos, para você avaliar a exposição de sistemas que controla ou está autorizado a testar. Teste apenas com autorização.