CVE-2026-44707 in Chatwoot
Сводка
по VulDB • 28.05.2026
Chatwoot — это комплексное решение для взаимодействия с клиентами. В версиях от 2.14.0 до 4.13.0 (включительно) в процессе аутентификации Chatwoot существовала уязвимость типа Pre-Account Takeover (Pre-ATO). Поскольку подтверждение адреса электронной почты не требовалось до момента, когда аккаунт становился доступным для использования, злоумышленник мог предварительно зарегистрировать адрес электронной почты, которым он не владеет, и установить для него пароль. Если законный владелец этого адреса позже входил в Chatwoot с использованием Google OAuth (или другого провайдера OmniAuth), поток OAuth молча подтверждал существующий аккаунт, не аннулируя предварительно установленные злоумышленником учетные данные. После этого злоумышленник мог продолжать входить в систему с ранее выбранным паролем и получать доступ к любым данным, которые жертва впоследствии вводила в панель управления, включая персональные данные (PII), ключи API и другую конфиденциальную информацию. Эта уязвимость исправлена в версии 4.13.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.