Nhost Vulnerable to Account Takeover via OAuth Email Verification Bypass — CVE-2026-41574
GitHub · GitHub · CVE-2026-41574
ID
CVE-2026-41574
CVE-2026-41574
Datum
Aktualisiert
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
critical
critical
CVSS
9.3
9.3
EPSS
0.00013
0.00013
Zusammenfassung
## Summary Nhost automatically links an incoming OAuth identity to an existing Nhost account when the email addresses match. This is only safe when the email has been **verified by the OAuth provider**. Nhost's controller trusts a `profile.EmailVerified` boolean that is set by each provider adapter. The vulnerability is that several provider adapters **do not correctly populate this field** they either silently…
Produkt
go: github.com/nhost/nhost
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.