CVE-2026-45332

Nome do Software Vulnerável e Versões Afetadas Automad versões 2.0.0-alpha.1 até 2.0.0-beta.27

Descrição Uma falha de controle de acesso permite que um invasor não autenticado recupere os hashes de senha bcrypt de todas as contas de administrador por meio de uma única requisição POST. O endpoint de configuração "/ api/user-collection/create-first-user" permanece publicamente acessível após a conclusão da configuração inicial e retorna dados de usuário serializados completos no corpo da resposta JSON. Essa exposição inclui o caminho absoluto do sistema de arquivos para o diretório de configuração. Na versão 2.0.0-beta.27, a resposta também inclui o segredo TOTP (Time-based One-Time Password), o que poderia permitir que um invasor ignore a autenticação de dois fatores caso uma senha em texto simples seja recuperada através de ataques de força bruta offline ou de dicionário nos hashes bcrypt expostos.

Recomendações Atualize para a versão 2.0.0-beta.28 ou posterior.