CVE-2026-36537

Nome do Software Vulnerável e Versões Afetadas ThingsBoard versão 4.3.0.1

Descrição Existe uma falha de bypass de autenticação durante a troca de código de autorização OAuth. A aplicação confia inadequadamente em dados de identidade fornecidos pelo usuário no parâmetro user do endpoint '/login/oauth2/code/'. Ao manipular o endereço de e-mail neste objeto JSON, um invasor remoto pode ignorar a autenticação e obter acesso total a qualquer conta de usuário existente na plataforma sem possuir as credenciais do usuário alvo, resultando em um sequestro completo de conta. Mais de 14.000 dispositivos foram identificados como potencialmente afetados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.