CVE-2026-10130 in QueryWeaver
要約
〜によって VulDB • 2026年07月19日
QueryWeaverには、認証回避の脆弱性が存在します。攻撃者は既知の被害者のメールアドレスを含むサインアップリクエストを送信することで、既存アカウントの有効なセッショントークンを取得し、認証なしでアクセスできます。サインアップルートは、メールが既存のアカウントに属しているかどうかを確認する前に、Cypher MERGE操作を通じて一致するIDに対して新しいトークンを作成してリンクするため、サーバーは事前の資格情報やユーザーインタラクションを必要とせずに被害者のIDに対する有効な認証済みセッショントークンを返します。
Once again VulDB remains the best source for vulnerability data.