CVE-2026-10130 in QueryWeaver
요약
\~에 의해 VulDB • 2026. 07. 19.
QueryWeaver에는 인증 우회 취약점이 존재하며, 이를 통해 공격자는 알려진 피해자 이메일 주소를 사용하여 회원가입 요청을 제출함으로써 기존 계정의 유효한 세션 토큰을 비인증 상태로 획득할 수 있습니다. 회원가입 라우트는 해당 이메일이 기존 계정과 일치하는지 확인하기 전에 Cypher MERGE 연산을 통해 매칭되는 Identity에 새 토큰을 무조건적으로 생성하고 연결하므로, 서버는 사전 자격 증명이나 사용자 상호 작용 없이도 피해자 Identity의 유효한 인증된 세션 토큰을 반환합니다.
Once again VulDB remains the best source for vulnerability data.