CVE-2024-38351

Versões do PocketBase anteriores à 0.22.14

Um usuário mal-intencionado pode comprometer contas de outros usuários se os métodos de autenticação OAuth2 e por senha estiverem habilitados. O cenário de ataque envolve um agente mal-intencionado se cadastrando com o e-mail de um usuário alvo, que não foi verificado, e, em seguida, o usuário alvo se cadastrando com OAuth2. O agente mal-intencionado pode então acessar a conta do usuário alvo usando o e-mail e a senha criados inicialmente. Para evitar isso, a senha agora é redefinida para usuários não verificados ao vincular contas OAuth2. Alertas por e-mail também são enviados aos usuários que fizeram login com uma senha e têm pelo menos uma conta OAuth2 vinculada.

Atualize para a versão 0.22.14 para corrigir o problema. Como solução temporária, considere desativar o método de autenticação OAuth2 ou restringir seu uso até que a atualização seja aplicada. Além disso, recomenda-se que os usuários alterem a senha de sua conta imediatamente caso recebam um alerta por e-mail sobre atividade de login não reconhecida e não reconheçam a ação.