CVE-2026-44707 in Chatwootinformación

Resumen

por VulDB • 2026-05-28

Chatwoot es una suite de engagement con los clientes. Desde la versión 2.14.0 hasta la 4.13.0 (excluida), existía una vulnerabilidad de Pre-Account Takeover (Pre-ATO) en el flujo de autenticación de Chatwoot. Dado que no se exigía la confirmación del correo electrónico antes de que una cuenta fuera utilizable, un atacante podía pre-registrar una dirección de correo electrónico que no le pertenecía y establecer una contraseña. Si el propietario legítimo de ese correo electrónico iniciaba sesión posteriormente en Chatwoot mediante OAuth de Google (u otro proveedor de OmniAuth), el flujo de OAuth confirmaba silenciosamente la cuenta existente sin invalidar las credenciales preestablecidas por el atacante. El atacante podía entonces seguir iniciando sesión con la contraseña que había elegido originalmente y acceder a cualquier dato que la víctima introdujera posteriormente en el panel de control, incluyendo información personal identificable (PII), claves API y otra información sensible. Esta vulnerabilidad se corrige en la versión 4.13.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-05-07

Divulgación

2026-05-26

Moderación

aceptado

Artículo

VDB-365761

CPE

listo

EPSS

0.00043

KEV

no

Actividades

muy bajo

Sector

Lawfirm, Hostingprovider, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-44707
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-44707
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-44707/

AnteriorVisión De ConjuntoPróximo

Want to know what is going to be exploited?

We predict KEV entries!