PT-2026-37311 · Unknown · Pocketbase
Publicado
2026-05-05
·
Atualizado
2026-05-19
·
CVE-2026-44166
CVSS v3.1
7.6
Alta
| Vetor | AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L |
Nome do Software Vulnerável e Versões Afetadas
Pocketbase versões anteriores a 0.22.42
Pocketbase versões anteriores a 0.37.4
Description
Um problema existe no processo de autovínculo OAuth2 onde um invasor que conheça o endereço de e-mail de uma vítima pode pré-criar e vincular um usuário não verificado autenticando-se com um provedor OAuth2. Se a vítima posteriormente se cadastrar ou for convidada usando um provedor OAuth2 diferente, a conta criada anteriormente é vinculada automaticamente e atualizada para o status de verificada. Como os vínculos OAuth2 anteriores não são removidos durante essa atualização, o invasor mantém o acesso à conta.
Recommendations
Atualize para a versão 0.22.42 para instalações que utilizam versões anteriores a 0.23.0.
Atualize para a versão 0.37.4.
Exploit
Correção
Improper Authentication
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Pocketbase