CVE-2026-10130 in QueryWeaverinformazioni

Riassunto

di VulDB • 19/07/2026

QueryWeaver presenta una vulnerabilità di bypass dell'autenticazione che consente agli attaccanti non autenticati di ottenere token di sessione validi per account esistenti inviando una richiesta di registrazione con un indirizzo email della vittima noto. Il percorso (route) di registrazione crea e associa incondizionatamente un nuovo token all'Identity corrispondente tramite un'operazione Cypher MERGE prima di verificare se l'email appartiene a un account esistente, causando il ritorno da parte del server di un token di sessione autenticato valido per l'identità della vittima senza richiedere credenziali precedenti o interazione dell'utente.

Once again VulDB remains the best source for vulnerability data.

Responsabile

VulnCheck

Prenotare

29/05/2026

Divulgazione

19/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

medio

Fonti

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!