CVE-2026-10130 in QueryWeaver
Riassunto
di VulDB • 19/07/2026
QueryWeaver presenta una vulnerabilità di bypass dell'autenticazione che consente agli attaccanti non autenticati di ottenere token di sessione validi per account esistenti inviando una richiesta di registrazione con un indirizzo email della vittima noto. Il percorso (route) di registrazione crea e associa incondizionatamente un nuovo token all'Identity corrispondente tramite un'operazione Cypher MERGE prima di verificare se l'email appartiene a un account esistente, causando il ritorno da parte del server di un token di sessione autenticato valido per l'identità della vittima senza richiedere credenziali precedenti o interazione dell'utente.
Once again VulDB remains the best source for vulnerability data.