CVE-2026-44166 in PocketbaseИнформация

Сводка

по VulDB • 13.05.2026

Pocketbase — это веб-бэкенд с открытым исходным кодом, написанный на Go. До версий 0.22.42 и 0.37.4 в некоторых ситуациях, если злоумышленник знает адрес электронной почты жертвы, он может заранее создать и связать неподтвержденного пользователя PocketBase, пройдя аутентификацию через одного из провайдеров OAuth2, например, «A». Когда жертва получает приглашение или самостоятельно решает зарегистрироваться в приложении с использованием провайдера «B» (аутентификация PocketBase OAuth2 требует использования другого провайдера, поскольку не разрешается связывать несколько учетных записей OAuth2 от одного провайдера с одним пользователем PocketBase), ранее созданный злоумышленником пользователь будет автоматически связан, его статус будет изменен на «подтвержденный», а старый пароль сброшен. Эта уязвимость исправлена в версиях 0.22.42 и 0.37.4.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

05.05.2026

Раскрытие

12.05.2026

Модерация

принято

Вход

VDB-363305

CPE

готов

CWE

CWE-287 (Подтверждённый)

Эксплойт

Скачать

CVSS

7.6 (NVD)

EPSS

0.00035

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44166
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44166
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44166/

◂ Предыдущий Обзор Далее ▸

Interested in the pricing of exploits?

See the underground prices here!