PT-2026-56214 · Go+1 · Github.Com/Quantumnous/New-Api+1

Publicado

2026-07-07

·

Atualizado

2026-07-09

·

CVE-2026-44342

CVSS v3.1

5.3

Média

VetorAV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas New API versões anteriores a 0.12.0-alpha.1
Description Os endpoints de vinculação de conta de e-mail e WeChat utilizam requisições GET para operações de alteração de estado da conta. Em implantações onde cookies de sessão são enviados em navegações cross-site, um invasor pode induzir o navegador de um usuário autenticado a vincular um endereço de e-mail ou identidade OAuth controlada pelo invasor. Isso pode permitir que o invasor inicie fluxos de recuperação de conta. Os endpoints afetados são 'GET /api/oauth/email/bind' e 'GET /api/oauth/wechat/bind'.
Recommendations Atualize para a versão 0.12.0-alpha.1. Garanta que os cookies de sessão estejam configurados com comportamento SameSite estrito. Bloqueie requisições GET para 'GET /api/oauth/email/bind' e 'GET /api/oauth/wechat/bind' no proxy reverso.

Correção

CSRF

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-44342
GHSA-26V7-H57M-GH9M

Produtos afetados

Github.Com/Quantumnous/New-Api
New Api