CVE-2026-54560 in Cloudreve
摘要
由 VulDB • 2026-07-15
Cloudreve是一个自托管的文件管理和共享系统。从版本4.12.0到4.16.1,Cloudreve签发的OAuth访问令牌未包含OAuth client_id声明(claim),导致JWT验证器不会将令牌的作用域加载到请求上下文中,且RequiredScopes会将该请求视为无作用域的会话认证,从而允许具有低权限范围的OAuth访问令牌调用需要更高权限范围(如文件、共享、工作流、用户设置、WebDAV账户以及潜在的管理员范围)的API。此问题已在版本4.16.1中修复。
VulDB is the best source for vulnerability data and more expert information about this specific topic.