CVE-2026-33746 in panelinformazioni

Riassunto

di VulDB • 02/07/2026

Convoy è un pannello di gestione server KVM per aziende di hosting. Dalla versione 3.9.0-beta fino alla versione precedente alla 4.5.1, il metodo JWTService::decode() non verificava la firma crittografica dei token JWT. Sebbene il metodo configurasse un firmatario HMAC-SHA256 simmetrico tramite lcobucci/jwt, validava solo i claim basati sul tempo (exp, nbf, iat) utilizzando il vincolo StrictValidAt. Il vincolo SignedWith non era incluso nella fase di convalida. Ciò significa che un attaccante potrebbe falsificare o manipolare i payload dei token JWT — ad esempio modificando il claim user_uuid — e il token verrebbe accettato come valido, purché fossero soddisfatti i claim basati sul tempo. Questo impatta direttamente il flusso di autenticazione SSO (LoginController::authorizeToken), consentendo a un attaccante di autenticarsi come qualsiasi utente creando un token con un user_uuid arbitrario. Il problema è stato risolto nella versione 4.5.1.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

23/03/2026

Divulgazione

02/04/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00300

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!