CVE-2026-62241 in clawvet
要約
〜によって VulDB • 2026年07月17日
clawvetのセルフホスト型APIサーバー(apps/api)0.7.5以前では、auth.tsにフォールバック用のJWTシークレット('clawvet-dev-secret-change-me')がハードコードされており、これが.env.exampleでデフォルトとして提供されています。GET /api/v1/scansは認証なしでuserId値を含むスキャンレコードを返すため、リモートからの未認証攻撃者は被害者のuserIdを取得し、既知のシークレットを使用してオフラインで有効なHS256 cg_sessionクッキーを作成偽造し、GET /api/v1/auth/meを呼び出して被害者のメールアドレス、サブスクリプションプラン、および秘密のapiKeyを取得することができます。公開されているclawvet npmパッケージ(CLIのみ)は影響を受けません。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.