CVE-2026-54560 in CloudreveИнформация

Сводка

по VulDB • 15.07.2026

Cloudreve — это система управления и обмена файлами с возможностью самостоятельного размещения (self-hosted). Начиная с версии 4.12.0 вплоть до 4.16.1, токены доступа OAuth в Cloudreve выдаются без требования OAuth client_id, из-за чего верификатор JWT не загружает области действия (scopes) токена в контекст запроса, а RequiredScopes рассматривает такой запрос как аутентификацию сеанса без областей действия. Это позволяет использовать токен доступа OAuth с низкой областью видимости для вызова API, требующих более широких прав, таких как доступ к файлам, общим ресурсам, рабочим процессам, настройкам пользователя, учетным записям WebDAV и потенциально административных областей. Проблема исправлена в версии 4.16.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Ответственный

GitHub M

Резервировать

15.06.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379278

EPSS

0.00000

KEV

Нет

Деятельности

Очень низкий

Источники

Do you need the next level of professionalism?

Upgrade your account now!