Pubblicato il 2026-07-18 · Fonte: NVD NIST
La vulnerabilità CVE-2026-10130 è una vulnerabilità di bypass autenticazione che colpisce il sistema QueryWeaver. Questa vulnerabilità consente agli attaccanti non autenticati di ottenere token di sessione validi per account esistenti semplicemente inviando una richiesta di registrazione con un indirizzo email di una vittima nota. La richiesta di registrazione crea e collega un nuovo token all'identità corrispondente senza controllare se l'indirizzo email appartiene a un account esistente, consentendo al server di restituire un token di sessione autenticato valido per l'identità della vittima senza richiedere credenziali o interazione dell'utente. La CVSS Score di 8.2 indica un impatto alto.
Un attaccante può sfruttare questa vulnerabilità per ottenere accesso non autorizzato a sistemi e dati sensibili. La vulnerabilità CWE-863 indica che il problema è legato alla gestione dell'autenticazione. Gli attaccanti possono utilizzare questa vulnerabilità per accedere a informazioni riservate e compromettere la sicurezza dei sistemi.
Vendor: N/A
Prodotti: N/A
Per mitigare questa vulnerabilità, è consigliabile applicare patch di sicurezza o workaround forniti dal vendor, se disponibili. Inoltre, è importante implementare pratiche di sicurezza generiche come l'autenticazione a più fattori, il monitoraggio delle attività di rete e l'aggiornamento regolare del software. È anche fondamentale limitare l'accesso ai sistemi sensibili e implementare controlli di autenticazione robusti.
La vulnerabilità CVE-2026-10130 è una vulnerabilità di bypass autenticazione che colpisce il sistema QueryWeaver, consentendo agli attaccanti di ottenere token di sessione validi senza credenziali
La vulnerabilità funziona creando e collegando un nuovo token all'identità corrispondente senza controllare se l'indirizzo email appartiene a un account esistente
Per proteggersi, è consigliabile applicare patch di sicurezza o workaround forniti dal vendor, implementare l'autenticazione a più fattori e limitare l'accesso ai sistemi sensibili
Vuoi approfondire la cybersecurity? Scopri il libro "Ethical Hacker per Tutti" oppure prenota una lezione online.