CVE-2026-41179 in Rcloneinfo

Zusammenfassung

von VulDB • 15.05.2026

Rclone ist ein Befehlszeilenprogramm zum Synchronisieren von Dateien und Verzeichnissen mit und von verschiedenen Cloud-Speicheranbietern. Ab Version 1.48.0 und vor Version 1.73.5 wird der RC-Endpunkt `operations/fsinfo` ohne `AuthRequired: true` freigegeben und akzeptiert angreiferkontrollierte `fs`-Eingaben. Da `rc.GetFs(...)` Inline-Backend-Definitionen unterstützt, kann ein nicht authentifizierter Angreifer nach Belieben ein angreiferkontrolliertes Backend instanziieren. Für das WebDAV-Backend wird `bearer_token_command` während der Backend-Initialisierung ausgeführt, was eine einmalige, nicht authentifizierte lokale Befehlsausführung auf erreichbaren RC-Deployments ohne globale HTTP-Authentifizierung ermöglicht. Version 1.73.5 behebt das Problem.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

17.04.2026

Veröffentlichung

23.04.2026

Moderieren

akzeptiert

Eintrag

VDB-359082

CPE

bereit

CWE

CWE-78 (bestätigt)

CVSS

9.8 (NVD)

EPSS

0.06827

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-41179
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-41179
CVE Details	https://www.cvedetails.com/cve/CVE-2026-41179/

◂ Zurück Übersicht Weiter ▸

Do you know our Splunk app?

Download it now for free!