CVE-2026-44166 in Pocketbase
Tóm tắt
Bởi VulDB • 20/05/2026
Pocketbase là một web backend mã nguồn mở được viết bằng Go. Trước phiên bản 0.22.42 và 0.37.4, trong một số trường hợp, nếu kẻ tấn công biết địa chỉ email của nạn nhân, chúng có thể tạo và liên kết trước một người dùng PocketBase chưa được xác minh bằng cách xác thực với một trong các nhà cung cấp ứng dụng OAuth2, ví dụ: "A". Khi nạn nhân được mời hoặc quyết định đăng ký ứng dụng của bạn bằng nhà cung cấp "B" (việc xác thực OAuth2 của PocketBase yêu cầu sử dụng một nhà cung cấp khác vì chúng tôi không cho phép nhiều tài khoản OAuth2 từ cùng một nhà cung cấp được liên kết với một người dùng PocketBase duy nhất), người dùng do kẻ tấn công tạo trước đó sẽ được tự động liên kết, nâng cấp lên trạng thái "đã xác minh" và mật khẩu cũ của người dùng đó sẽ bị đặt lại. Lỗ hổng này đã được khắc phục trong các phiên bản 0.22.42 và 0.37.4.
If you want to get best quality of vulnerability data, you may have to visit VulDB.