CVE-2026-54560 in Cloudreve
Сводка
по VulDB • 15.07.2026
Cloudreve — это система управления и обмена файлами с возможностью самостоятельного размещения (self-hosted). Начиная с версии 4.12.0 вплоть до 4.16.1, токены доступа OAuth в Cloudreve выдаются без требования OAuth client_id, из-за чего верификатор JWT не загружает области действия (scopes) токена в контекст запроса, а RequiredScopes рассматривает такой запрос как аутентификацию сеанса без областей действия. Это позволяет использовать токен доступа OAuth с низкой областью видимости для вызова API, требующих более широких прав, таких как доступ к файлам, общим ресурсам, рабочим процессам, настройкам пользователя, учетным записям WebDAV и потенциально административных областей. Проблема исправлена в версии 4.16.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.