CVE-2026-54560 in Cloudreve情報

要約

〜によって VulDB • 2026年07月15日

Cloudreveは、セルフホスト型のファイル管理および共有システムです。バージョン4.12.0から4.16.1まで、CloudreveのOAuthアクセストークンはOAuth client_idクレームなしで発行されるため、JWT検証器がトークンのスコープをリクエストコンテキストに読み込まず、RequiredScopesはリクエストを非スコープセッション認証として扱います。これにより、低レベルのスコープを持つOAuthアクセストークンを使用して、ファイル、共有、ワークフロー、ユーザー設定、WebDAVアカウント、および潜在的には管理者権限を含むより高いスコープが必要なAPIを呼び出すことが可能になります。この問題はバージョン4.16.1で修正されています。

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

責任者

GitHub M

予約する

2026年06月15日

モデレーション

承諾済み

エントリ

VDB-379278

EPSS

0.00000

アクティビティ

非常低い

ソース

Interested in the pricing of exploits?

See the underground prices here!