CVE-2026-44707

Nome do Software Vulnerável e Versões Afetadas Chatwoot versões 2.14.0 até 4.12.x

Descrição Um problema de Pre-Account Takeover (Pre-ATO) existe no fluxo de autenticação. Como a confirmação de e-mail não é exigida antes que uma conta se torne utilizável, um invasor pode pré-registrar um endereço de e-mail que não possui e definir uma senha. Se o proprietário legítimo desse e-mail posteriormente fizer login usando o Google OAuth ou outro provedor OmniAuth, o fluxo OAuth confirma silenciosamente a conta existente sem invalidar as credenciais pré-definidas pelo invasor. Isso permite que o invasor faça login com a senha escolhida e acesse dados sensíveis inseridos pela vítima, como informações de identificação pessoal (PII) e chaves de API.

Recomendações Atualizar para a versão 4.13.0.