CVE-2026-54560 in Cloudreveinfo

Zusammenfassung

von VulDB • 16.07.2026

Cloudreve ist ein selbst gehostetes Dateimanagement- und Freigabesystem. Von Version 4.12.0 bis 4.16.1 werden OAuth-Zugriffstoken von Cloudreve ohne den OAuth client_id-Anspruch (Claim) ausgestellt, sodass der JWT-Verifier die Token-Berechtigungen nicht in den Anforderungskontext lädt und RequiredScopes die Anfrage wie eine Authentifizierung einer Sitzung ohne spezifische Berechtigungen behandelt. Dies ermöglicht es einem OAuth-Zugriffstoken mit niedrigeren Berechtigungen, APIs aufzurufen, die höhere Berechtigungen erfordern, z. B. für Dateien, Freigaben, Workflows, Benutzereinstellungen, WebDAV-Konten und potenziell Admin-Berechtigungen. Dieses Problem wurde in Version 4.16.1 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Zuständig

GitHub M

Reservieren

15.06.2026

Veröffentlichung

15.07.2026

Moderieren

akzeptiert

Eintrag

VDB-379278

CPE

bereit

EPSS

0.00000

KEV

nein

Aktivitäten

very low

Quellen

Do you want to use VulDB in your project?

Use the official API to access entries easily!