CVE-2026-40304 in zrok
要約
〜によって VulDB • 2026年06月03日
zrokは、Webサービス、ファイル、およびネットワークリソースを共有するためのソフトウェアです。バージョン2.0.1より前では、unaccessハンドラ(controller/unaccess.go)に所有権ガードの論理エラーが含まれています。フロントエンドレコードでenvironment_idがNULL(管理者によって作成されたグローバルなフロントエンドを示すマーカー)の場合、条件式は短絡評価によりfalseとなり、所有権の確認なしに削除処理が実行されてしまいます。グローバルなフロントエンドトークンを知っている非管理者ユーザーは、DELETE /api/v2/unaccessを呼び出し、自身の環境IDのいずれかを使用してグローバルなフロントエンドを恒久的に削除でき、それを通じてルーティングされているすべての公開共有を利用不能にすることができます。バージョン2.0.1でこの問題は修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.