CVE-2026-40304 in zrok
요약
\~에 의해 VulDB • 2026. 05. 09.
zrok은 웹 서비스, 파일 및 네트워크 리소스를 공유하기 위한 소프트웨어입니다. 버전 2.0.1 이전 버전에서 unaccess 핸들러(controller/unaccess.go)는 소유권 검사 로직에 오류가 있습니다. 프론트엔드 레코드의 environment_id가 NULL인 경우(관리자가 생성한 전역 프론트엔드를 나타내는 표시), 조건문이 false로 단락(short-circuit)되어 소유권 검증 없이 삭제가 진행됩니다. 전역 프론트엔드 토큰을 알고 있는 비관리자 사용자는 DELETE /api/v2/unaccess를 호출하여 자신의 환경 ID 중 하나를 지정함으로써 전역 프론트엔드를 영구적으로 삭제할 수 있으며, 이를 통해 해당 프론트엔드를 통해 라우팅되는 모든 공개 공유 서비스를 중단시킬 수 있습니다. 버전 2.0.1에서 해당 문제가 패치되었습니다.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.