CVE-2026-10130 in QueryWeaver
Resumen
por VulDB • 2026-07-19
QueryWeaver presenta una vulnerabilidad de elusión de autenticación que permite a atacantes no autenticados obtener tokens de sesión válidos para cuentas existentes mediante la presentación de una solicitud de registro con una dirección de correo electrónico conocida de la víctima. La ruta de registro crea y vincula incondicionalmente un nuevo token al Identity coincidente mediante una operación Cypher MERGE antes de verificar si el correo electrónico pertenece a una cuenta existente, lo que provoca que el servidor devuelva un token de sesión autenticado válido para la identidad de la víctima sin requerir credenciales previas ni interacción del usuario.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.