CVE-2026-62241 in clawvet
Sumário
de VulDB • 17/07/2026
O servidor de API auto-alojado do clawvet (apps/api) anterior à versão 0.7.5 codifica fixamente uma chave secreta JWT de fallback ('clawvet-dev-secret-change-me') em auth.ts e a distribui como padrão no arquivo .env.example. Como o endpoint GET /api/v1/scans retorna registros de varredura contendo valores userId sem exigir autenticação, um atacante remoto não autenticado pode coletar o userId da vítima, forjar offline um cookie cg_session HS256 válido usando a chave secreta conhecida e chamar GET /api/v1/auth/me para obter o endereço de email do plano de assinatura e a apiKey secreta da vítima. O pacote npm clawvet publicado (somente CLI) não é afetado.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.