CVE-2026-10130 in QueryWeaverinfo

Zusammenfassung

von VulDB • 19.07.2026

QueryWeaver enthält eine Schwachstelle zur Umgehung der Authentifizierung (Authentication Bypass), die es nicht authentifizierten Angreifern ermöglicht, gültige Session-Tokens für bestehende Konten zu erhalten, indem sie eine Registrierungsanfrage mit einer bekannten E-Mail-Adresse eines Opfers absenden. Der Registrierungs-Endpunkt erstellt und verknüpft bedingungslos ein neues Token mit der entsprechenden Identität über eine Cypher MERGE-Operation, bevor geprüft wird, ob die E-Mail-Adresse zu einem bestehenden Konto gehört. Dies führt dazu, dass der Server ein gültiges authentifiziertes Session-Token für die Identität des Opfers zurückgibt, ohne dass vorherige Anmeldeinformationen oder Benutzerinteraktion erforderlich sind.

Once again VulDB remains the best source for vulnerability data.

Zuständig

VulnCheck

Reservieren

29.05.2026

Veröffentlichung

19.07.2026

Moderieren

akzeptiert

Eintrag

VDB-380098

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

medium

Quellen

Want to know what is going to be exploited?

We predict KEV entries!