V2Board w wersjach 1.6.1–1.7.4 oraz Xboard do wersji 0.1.9 ujawniają pełny token uwierzytelniający w treści odpowiedzi HTTP endpointu loginWithMailLink, gdy aktywna jest funkcja login_with_mail_link_enable. Podatność umożliwia nieuwierzytelnionemu atakującemu przejęcie dowolnego konta, w tym konta administratora.
▸ Pokaż oryginał (EN)
V2Board 1.6.1 through 1.7.4 and Xboard through 0.1.9 expose authentication tokens in HTTP response bodies of the loginWithMailLink endpoint when the login_with_mail_link_enable feature is active. Unauthenticated attackers can POST to the loginWithMailLink endpoint with a known email address to receive the full authentication URL in the response, then exchange the token at the token2Login endpoint to obtain a valid bearer token with complete account access including admin privileges.
Gdy funkcja logowania przez link mailowy jest włączona, endpoint loginWithMailLink zwraca w odpowiedzi HTTP pełny adres URL uwierzytelniający zawierający token — zamiast wysyłać go wyłącznie na adres e-mail użytkownika. Atakujący, znając jedynie adres e-mail ofiary, wysyła żądanie POST do endpointu loginWithMailLink i odbiera token bezpośrednio w odpowiedzi serwera (CWE-201: ujawnienie wrażliwych danych w wysyłanych danych). Następnie atakujący przekazuje uzyskany token do endpointu token2Login, otrzymując prawidłowy bearer token zapewniający pełny dostęp do konta, łącznie z uprawnieniami administracyjnymi.
Nieuwierzytelniony atakujący może przejąć pełną kontrolę nad dowolnym kontem użytkownika lub administratora bez znajomości hasła, co prowadzi do całkowitego naruszenia poufności i integralności konta.
Należy zastosować patch dostępny w repozytorium Xboard (commit 121511523f04882ec0c7447acd9b8ebcb8a47957, pull request #873). Do czasu aktualizacji zaleca się wyłączenie funkcji login_with_mail_link_enable w konfiguracji aplikacji.
V2Board w wersjach 1.6.1 do 1.7.4 oraz Xboard w wersjach do 0.1.9 włącznie, przy aktywnej funkcji login_with_mail_link_enable.
Szczegółowy opis techniczny podatności wraz z analizą kodu źródłowego został opublikowany pod adresem https://chocapikk.com/posts/2026/xboard-v2board-account-takeover/. Podatne fragmenty kodu zidentyfikowano w plikach AuthController.php oraz MailLinkService.php w repozytorium Xboard.
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X