Cal.com: falha crítica permite contornar autenticação e sequestrar sessões

CVE‑2026‑23478 no Cal.com permite, via callback NextAuth JWT, que um atacante atualize session tokens e assuma qualquer conta. Versões afetadas >=3.1.6 e <6.0.7; patch disponível em 6.0.7.

Foi divulgada uma vulnerabilidade crítica na plataforma de agendamento Cal.com (rastreada como CVE‑2026‑23478) que permite a um atacante modificar tokens de sessão via callback do NextAuth e assim autenticar-se como qualquer usuário. A falha já conta com patch na versão 6.0.7.

Vetor técnico e impacto

A vulnerabilidade reside em um callback JWT personalizado do NextAuth usado pela aplicação. Quando a função de callback é executada com o gatilho “update”, dados controlados pelo cliente são escritos no JSON Web Token sem validação no servidor. Um único chamado à API — session.update({email: "victim@example.com"}) — pode produzir um JWT que combina o identificador do atacante (sub: attackerId) com o e‑mail da vítima, e subsequentemente a aplicação autentica consultas ao banco de dados usando o campo email presente no token manipulado.

Como consequência, o servidor constrói a sessão a partir do registro da vítima, concedendo acesso completo a reservas, organizações, integrações, informações de faturamento e privilégios administrativos quando aplicáveis. A pontuação CVSS v4 reportada é 10 (crítica), e versões afetadas incluem >= 3.1.6 e < 6.0.7; o patch já foi liberado em 6.0.7.

Controle de mitigação e resposta

Atualização imediata: operadores de instâncias self‑hosted devem atualizar para Cal.com 6.0.7 ou posterior.
Verificação de sessões: auditar logs de sessões e alterações de sessão para identificar updates suspeitos que possam indicar abuso do callback JWT.
Rotinas de saneamento: garantir validação server‑side de todos os campos de identidade antes de incorporá‑los em JWTs ou estruturas de sessão.
Alterar chaves: considerar rotação de chaves JWT e invalidação de sessões ativas se houver suspeita de abuso em ambientes de produção.

Por que controles como MFA não evitam o problema

O problema ocorre no nível do token de sessão, após a autenticação inicial. Portanto, controles como autenticação multifator ou associações com provedores externos não impedem a criação de uma sessão manipulada quando o servidor aceita campos de identidade controlados pelo cliente dentro do token.

Evidências e estado de exploração

O vulnerabilidade foi reportada por pesquisador identificado como jaydns via Veri‑Labs e a equipe de manutenção do Cal.com aplicou correção nas instâncias hospedadas. No material consultado não há indicação de exploração ativa em larga escala no momento da publicação, embora a simplicidade do vetor (um único chamado de API) torne a exploração trivial caso um ambiente autossessions não esteja corrigido.

Implicações para ambientes corporativos

Plataformas de agendamento frequentemente integram sistemas de faturamento, calendários corporativos e integrações com provedores de identidade — tornando o comprometimento de contas um vetor com potencial para fraude financeira, vazamento de dados de clientes e escalada interna. Organizações que dependem de instâncias self‑hosted ou integrações customizadas devem priorizar a atualização e revisão de callbacks JWT customizados.

Resumo prático

CVE‑2026‑23478 é uma falha de lógica crítica que demonstra o risco de delegar decisões de identidade a callbacks executados com dados controlados pelo cliente. A mitigação imediata é a atualização para Cal.com 6.0.7+, auditoria de sessões e rotação/invalidação de tokens quando houver suspeita de abuso.