CVE-2026-39912

Name of the Vulnerable Software and Affected Versions V2Board versões 1.6.1 através de 1.7.4 e Xboard versões até 0.1.9

Description V2Board e Xboard são afetados por uma falha onde tokens de autenticação são expostos nos corpos de resposta HTTP do endpoint loginWithMailLink quando o recurso login with mail link enable está ativo. Um atacante não autenticado pode enviar uma requisição POST para o endpoint loginWithMailLink com um endereço de e-mail conhecido e receber uma URL de autenticação completa na resposta. Esta URL pode então ser usada para trocar o token no endpoint token2Login, concedendo ao atacante um token de portador válido com acesso total à conta, incluindo privilégios de administrador.

Recommendations Para as versões V2Board 1.6.1 através de 1.7.4, desative o recurso login with mail link enable. Para as versões Xboard até 0.1.9, desative o recurso login with mail link enable.