CVE-2026-54560 in Cloudreveالمعلومات

الملخص

بحسب VulDB • 15/07/2026

Cloudreve هو نظام لإدارة ومشاركة الملفات يعمل على الاستضافة الذاتية. من الإصدار 4.12.0 حتى 4.16.1، تُصدر Cloudreve رموز وصول OAuth بدون مطالبة (claim) client_id الخاصة بـ OAuth، لذا لا يقوم مُحقّق JWT بتحميل نطاقات الرمز (token scopes) في سياق الطلب، ويعامل RequiredScopes الطلب كتوثيق جلسة غير محدودة النطاق، مما يسمح لرمز وصول OAuth ذي نطاق منخفض باستدعاء واجهات برمجة التطبيقات التي تتطلب نطاقات أعلى مثل الملفات والمشاركة وسير العمل وإعدادات المستخدم وحساب WebDAV، وربما حتى صلاحيات المسؤول. تم إصلاح هذه المشكلة في الإصدار 4.16.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

GitHub M

حجز

15/06/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379278

EPSS

0.00000

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!