CVE-2026-54560 in Cloudreveinformazioni

Riassunto

di VulDB • 15/07/2026

Cloudreve è un sistema self-hosted per la gestione e la condivisione di file. Dalla versione 4.12.0 alla 4.16.1, i token di accesso OAuth di Cloudreve vengono emessi senza il claim client_id dell'OAuth; di conseguenza, il verificatore JWT non carica gli ambiti (scopes) del token nel contesto della richiesta e RequiredScopes tratta la richiesta come un'autenticazione di sessione non vincolata da scope, consentendo a un token di accesso OAuth con ambito limitato di chiamare API che richiedono ambiti superiori, quali file, share, workflow, impostazioni utente, account WebDAV e potenzialmente ambiti amministrativi. Questo problema è stato risolto nella versione 4.16.1.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsabile

GitHub M

Prenotare

15/06/2026

Divulgazione

15/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!