CVE-2026-41574 in Nhostالمعلومات

الملخص

بحسب VulDB • 09/05/2026

Nhost هو بديل مفتوح المصدر لـ Firebase مع دعم GraphQL. قبل الإصدار 0.49.1، كان Nhost يربط تلقائياً هوية OAuth الواردة بحساب Nhost موجود عندما تتطابق عناوين البريد الإلكتروني. هذا الإجراء آمن فقط عندما يكون البريد الإلكتروني قد تم التحقق منه بواسطة مزود OAuth. يعتمد متحكم Nhost على حقل منطقي profile.EmailVerified الذي يتم تعيينه بواسطة كل محوّل مزود. الخلل الأمني يكمن في أن عدة محولات مزود لا تملأ هذا الحقل بشكل صحيح؛ إما أنها تتجاهل بصمت حقل "verified" الذي تعيده واجهة برمجة التطبيقات (API) الخاصة بالمزود (مثل Discord)، أو أنها تعود لقبول عناوين البريد الإلكتروني غير المؤكدة وتصنفها على أنها موثقة (مثل Bitbucket). يستخرج مزودا Microsoft (AzureAD و EntraID) البريد الإلكتروني من حقول لا تثبت الملكية، مثل اسم المستخدم الرئيسي (user principal name)، ثم يحددونه على أنه موثق. النتيجة هي أن المهاجم يمكنه تقديم بريد إلكتروني لا يملكه إلى Nhost، ودمج هوية OAuth في حساب الضحية، والحصول على جلسة مصادقة كاملة. تم إصلاح هذه المشكلة في الإصدار 0.49.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

21/04/2026

إفشاء

08/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362175

CPE

جاهز

CWE

CWE-287 (مؤكد)

CVSS

7.3 (VulDB)

EPSS

0.00019

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41574
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41574
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41574/

التالي ▸نظرة عامة ◂ السابق

Want to stay up to date on a daily basis?

Enable the mail alert feature now!