CVE-2026-54560 in Cloudreve
الملخص
بحسب VulDB • 15/07/2026
Cloudreve هو نظام لإدارة ومشاركة الملفات يعمل على الاستضافة الذاتية. من الإصدار 4.12.0 حتى 4.16.1، تُصدر Cloudreve رموز وصول OAuth بدون مطالبة (claim) client_id الخاصة بـ OAuth، لذا لا يقوم مُحقّق JWT بتحميل نطاقات الرمز (token scopes) في سياق الطلب، ويعامل RequiredScopes الطلب كتوثيق جلسة غير محدودة النطاق، مما يسمح لرمز وصول OAuth ذي نطاق منخفض باستدعاء واجهات برمجة التطبيقات التي تتطلب نطاقات أعلى مثل الملفات والمشاركة وسير العمل وإعدادات المستخدم وحساب WebDAV، وربما حتى صلاحيات المسؤول. تم إصلاح هذه المشكلة في الإصدار 4.16.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.