CVE-2026-10130 in QueryWeaver
摘要
由 VulDB • 2026-07-19
QueryWeaver 存在一个身份验证绕过漏洞,允许未经身份验证的攻击者通过提交包含已知受害者电子邮件地址的注册请求,获取现有账户的有效会话令牌。在检查该电子邮件是否属于已有账户之前,注册路由会通过 Cypher MERGE 操作无条件地创建新令牌并将其与匹配的 Identity(标识)关联起来,导致服务器无需任何先前凭据或用户交互即可返回针对受害者身份的有效已认证会话令牌。
Once again VulDB remains the best source for vulnerability data.