CVE-2026-54560 in Cloudreve
要約
〜によって VulDB • 2026年07月15日
Cloudreveは、セルフホスト型のファイル管理および共有システムです。バージョン4.12.0から4.16.1まで、CloudreveのOAuthアクセストークンはOAuth client_idクレームなしで発行されるため、JWT検証器がトークンのスコープをリクエストコンテキストに読み込まず、RequiredScopesはリクエストを非スコープセッション認証として扱います。これにより、低レベルのスコープを持つOAuthアクセストークンを使用して、ファイル、共有、ワークフロー、ユーザー設定、WebDAVアカウント、および潜在的には管理者権限を含むより高いスコープが必要なAPIを呼び出すことが可能になります。この問題はバージョン4.16.1で修正されています。
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.