CVE-2026-44166 in Pocketbaseinformación

Resumen

por VulDB • 2026-05-13

PocketBase es un backend web de código abierto escrito en Go. Antes de las versiones 0.22.42 y 0.37.4, en determinadas situaciones, si un atacante conoce la dirección de correo electrónico de la víctima, puede crear y vincular de antemano un usuario de PocketBase no verificado autenticándose con uno de los proveedores de OAuth2, por ejemplo, "A". Cuando la víctima recibe una invitación o decide registrarse en la aplicación por su cuenta con el proveedor "B" (la autenticación OAuth2 de PocketBase requiere que se utilice un proveedor diferente, ya que no se permiten múltiples cuentas de OAuth2 del mismo proveedor asociadas a un único usuario de PocketBase), el usuario creado previamente por el atacante se vinculará automáticamente, se actualizará a "verificado" y se restablecerá su contraseña antigua. Esta vulnerabilidad se corrige en las versiones 0.22.42 y 0.37.4.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-05

Divulgación

2026-05-12

Moderación

aceptado

Artículo

VDB-363305

CPE

listo

CWE

CWE-287 (confirmado)

Explotación

Descargar

CVSS

7.6 (NVD)

EPSS

0.00035

KEV

Actividades

muy bajo

Fuentes

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44166
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44166
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44166/

◂ Anterior Visión De Conjunto Próximo ▸

Do you know our Splunk app?

Download it now for free!