PT-2026-56214 · Go+1 · Github.Com/Quantumnous/New-Api+1
Publicado
2026-07-07
·
Atualizado
2026-07-09
·
CVE-2026-44342
CVSS v3.1
5.3
Média
| Vetor | AV:N/AC:H/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
New API versões anteriores a 0.12.0-alpha.1
Description
Os endpoints de vinculação de conta de e-mail e WeChat utilizam requisições GET para operações de alteração de estado da conta. Em implantações onde cookies de sessão são enviados em navegações cross-site, um invasor pode induzir o navegador de um usuário autenticado a vincular um endereço de e-mail ou identidade OAuth controlada pelo invasor. Isso pode permitir que o invasor inicie fluxos de recuperação de conta. Os endpoints afetados são 'GET /api/oauth/email/bind' e 'GET /api/oauth/wechat/bind'.
Recommendations
Atualize para a versão 0.12.0-alpha.1.
Garanta que os cookies de sessão estejam configurados com comportamento SameSite estrito.
Bloqueie requisições GET para 'GET /api/oauth/email/bind' e 'GET /api/oauth/wechat/bind' no proxy reverso.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Github.Com/Quantumnous/New-Api
New Api