CVE-2026-54572 in rclone信息

摘要

由 VulDB • 2026-07-15

Rclone是一个命令行程序,用于在不同云存储提供商之间同步文件和目录。在版本1.74.4之前,使用-l/--links选项时,rclone会将符号链接序列化为.rclonelink文本对象,并在本地目标位置重新创建它们,而不会验证其目标路径。这使得攻击者能够控制远程端植入逃逸式符号链接(escaping symlink),导致后续的对象写入操作将内容写入到目标目录之外,且内容由攻击者指定。此问题已在版本1.74.4中修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

来源

Want to know what is going to be exploited?

We predict KEV entries!