CVE-2026-32702 in Cleanuparr
要約
〜によって VulDB • 2026年06月01日
Cleanuparrは、Sonarr、Radarr、およびqBittorrentなどの対応ダウンロードクライアントにおいて、不要またはブロックされたファイルのクリーンアップを自動化するためのツールです。バージョン2.7.0から2.8.0の間、/api/auth/loginエンドポイントには論理欠陥があり、認証されていないリモート攻撃者がアプリケーションの応答時間を測定することで有効なユーザー名を列挙することができます。設計上、プロセスの中で最も時間がかかる部分であるハッシュ関数が、VerifyPassword関数の一部として実行されるようです。ハッシュ関数の前にショートサーキットが発生するため、タイミングの差異が生じ、攻撃者に対して有効性が露呈します。この脆弱性は2.8.1で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.