製品・ソフトウェアに関する情報

JVN脆弱性詳細

PocketBaseにおける認証に関する脆弱性

Title	PocketBaseにおける認証に関する脆弱性
Summary	PocketbaseはGoで書かれたオープンソースのウェブバックエンドです。0.22.42および0.37.4より前のバージョンでは、攻撃者が被害者のメールアドレスを知っている場合、OAuth2アプリプロバイダーの一つ（例：「A」）で認証することで、未確認のPocketBaseユーザーを事前に作成し、リンクできる状況がありました。被害者がプロバイダー「B」であなたのアプリに招待されたり、自らサインアップを決定した場合（PocketBaseのOAuth2認証は、単一のPocketBaseユーザーに対して同じプロバイダーからの複数OAuth2アカウントを関連付けることを許可していないため、異なるプロバイダーである必要があります）、攻撃者によって以前に作成されたユーザーが自動的にリンクされ、「verified（確認済み）」にアップグレードされ、古いパスワードがリセットされます。この脆弱性はバージョン0.22.42および0.37.4で修正されています。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアの一部が停止する可能性があります。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 12, 2026, midnight
Registration Date	May 21, 2026, 10:55 a.m.
Last Update	May 21, 2026, 10:55 a.m.

CVSS3.0 : 重要
Score	7.6
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:L

Affected System

PocketBase

PocketBase 0.22.42 未満

PocketBase 0.23.0 以上 0.37.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-44166	https://www.cve.org/CVERecord?id=CVE-2026-44166
National Vulnerability Database (NVD)
2	CVE-2026-44166	https://nvd.nist.gov/vuln/detail/CVE-2026-44166

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-287	https://jvndb.jvn.jp/ja/cwe/CWE-287.html

ベンダー情報

No	Name	URL
GitHub
1	Account pre-hijacking via OAuth2 unverfied->verified autolinking upgrade Advisory pocketbase/pocketbase GitHub	https://github.com/pocketbase/pocketbase/security/advisories/GHSA-pq7p-mc74-g65w

Change Log

No	Changed Details	Date of change
1	[2026年05月21日] 掲載	May 21, 2026, 10:55 a.m.

NVD Vulnerability Information

CVE-2026-44166

Summary	Pocketbase is an open source web backend written in go. Prior to 0.22.42 and 0.37.4, in some situations, if an attacker knows the email address of the victim they can create and link an unverified PocketBase user in advance by authenticating with one of the OAuth2 app providers, e.g. "A". When the victim gets invited or decides to sign up to your app on their own with provider "B" (PocketBase OAuth2 auth requires to be with a different provider because we don't allow multiple OAuth2 accounts from the same provider to be associated to a single PocketBase user), the user created previously by the attacker will be autolinked, upgraded to "verified" and its old password reset. This vulnerability is fixed in 0.22.42 and 0.37.4.
Publication Date	May 13, 2026, 3:17 a.m.
Registration Date	May 13, 2026, 4:15 a.m.
Last Update	May 20, 2026, 1:20 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:pocketbase:pocketbase::::::go::*				0.22.42
cpe:2.3:a:pocketbase:pocketbase::::::go::*	0.23.0			0.37.4

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/pocketbase/pocketbase/security/advisories/GHSA-pq7p-mc74-g65w	security-advisories@github.com

Common Vulnerabilities List