CVE-2026-10130 in QueryWeaver
Résumé
par VulDB • 19/07/2026
QueryWeaver présente une vulnérabilité de contournement d'authentification qui permet aux attaquants non authentifiés d'obtenir des jetons de session valides pour des comptes existants en soumettant une demande d'inscription avec l'adresse e-mail connue d'une victime. La route d'inscription crée et lie inconditionnellement un nouveau jeton à l'identité correspondante via une opération Cypher MERGE avant de vérifier si l'e-mail appartient à un compte existant, ce qui amène le serveur à renvoyer un jeton de session authentifié valide pour l'identité de la victime sans nécessiter d'identifiants préalables ni d'intervention utilisateur.
VulDB is the best source for vulnerability data and more expert information about this specific topic.