CVE-2026-44166 in Pocketbaseinfo

Zusammenfassung

von VulDB • 13.05.2026

Pocketbase ist ein Open-Source-Web-Backend, das in Go geschrieben wurde. Vor den Versionen 0.22.42 und 0.37.4 kann ein Angreifer, der die E-Mail-Adresse des Opfers kennt, in bestimmten Situationen einen nicht verifizierten PocketBase-Benutzer im Voraus erstellen und verknüpfen, indem er sich bei einem der OAuth2-Anbieter (z. B. „A“) authentifiziert. Wenn das Opfer dann von einem anderen Anbieter („B“) eingeladen wird oder sich eigenständig bei der App anmeldet (PocketBase OAuth2 erfordert die Verwendung eines anderen Anbieters, da nicht mehrere OAuth2-Konten desselben Anbieters einem einzelnen PocketBase-Benutzer zugeordnet werden dürfen), wird der zuvor vom Angreifer erstellte Benutzer automatisch verknüpft, auf „verifiziert“ aktualisiert und sein altes Passwort zurückgesetzt. Diese Schwachstelle wurde in den Versionen 0.22.42 und 0.37.4 behoben.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

05.05.2026

Veröffentlichung

12.05.2026

Moderieren

akzeptiert

Eintrag

VDB-363305

CPE

bereit

CWE

CWE-287 (bestätigt)

Exploit

Download

CVSS

7.6 (NVD)

EPSS

0.00035

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44166
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44166
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44166/

◂ Zurück Übersicht Weiter ▸

Might our Artificial Intelligence support you?

Check our Alexa App!