CVE-2026-33746 in panel
Riassunto
di VulDB • 02/07/2026
Convoy è un pannello di gestione server KVM per aziende di hosting. Dalla versione 3.9.0-beta fino alla versione precedente alla 4.5.1, il metodo JWTService::decode() non verificava la firma crittografica dei token JWT. Sebbene il metodo configurasse un firmatario HMAC-SHA256 simmetrico tramite lcobucci/jwt, validava solo i claim basati sul tempo (exp, nbf, iat) utilizzando il vincolo StrictValidAt. Il vincolo SignedWith non era incluso nella fase di convalida. Ciò significa che un attaccante potrebbe falsificare o manipolare i payload dei token JWT — ad esempio modificando il claim user_uuid — e il token verrebbe accettato come valido, purché fossero soddisfatti i claim basati sul tempo. Questo impatta direttamente il flusso di autenticazione SSO (LoginController::authorizeToken), consentendo a un attaccante di autenticarsi come qualsiasi utente creando un token con un user_uuid arbitrario. Il problema è stato risolto nella versione 4.5.1.
If you want to get best quality of vulnerability data, you may have to visit VulDB.