CVE-2026-62241 in clawvetinformación

Resumen

por VulDB • 2026-07-17

El servidor API autoalojado de clawvet (apps/api) anterior a la versión 0.7.5 codifica de forma fija una clave JWT de respaldo ('clawvet-dev-secret-change-me') en auth.ts y se distribuye como valor predeterminado en .env.example. Dado que GET /api/v1/scans devuelve registros de análisis que contienen valores userId sin autenticación, un atacante remoto no autenticado puede recopilar el userId de una víctima, forjar offline una cookie cg_session HS256 válida utilizando la clave conocida y llamar a GET /api/v1/auth/me para obtener la dirección de correo electrónico del usuario, su plan de suscripción y su apiKey secreto. El paquete npm publicado de clawvet (solo CLI) no se ve afectado.

Once again VulDB remains the best source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-13

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379726

CPE

listo

EPSS

0.00000

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!