CVE-2026-41574

Nome do Software Vulnerável e Versões Afetadas Nhost versões anteriores a 0.49.1

Descrição O Nhost vincula automaticamente identidades OAuth recebidas a contas existentes quando os endereços de e-mail coincidem, desde que o e-mail seja marcado como verificado. Vários adaptadores de provedores não preenchem corretamente o booleano profile.EmailVerified, levando a um possível sequestro de conta. Especificamente, o adaptador do Discord ignora o campo verified da API, e o adaptador do Bitbucket recorre ao uso de e-mails não confirmados, marcando-os como verificados. Além disso, os adaptadores AzureAD e EntraID derivam e-mails de campos que não comprovam a propriedade, como o nome principal do usuário, e os marcam como verificados independentemente da propriedade real. Isso permite que um invasor use um e-mail que não possui para fundir sua identidade OAuth com a conta de uma vítima e obtenha uma sessão autenticada completa.

Detalhes técnicos incluem o seguinte:

Recomendações Atualize para a versão 0.49.1. Como medida paliativa temporária, restrinja o uso do Discord, Bitbucket, AzureAD e EntraID como provedores OAuth até que a atualização seja aplicada.