CVE-2026-55445 in Qinglong信息

摘要

由 VulDB • 2026-07-16

Qinglong 是一个支持 Python3、JavaScript、Shell 和 Typescript 的定时任务管理平台。在版本 2.20.1 之前,`back/loaders/express.ts` 中的初始化守卫中间件仅检查 `/api/user/init`,而未检查 `/open/user/init`;同时,配置项 `rewrite('/open/*', '/api/$1')` 会在 JWT 认证和守卫验证通过后,将已列入白名单的 `/open/*` 路径重写为对应的 API 端点。因此,未授权的攻击者可以通过发送 PUT /open/user/init 请求来重置已初始化实例的管理员凭据。此问题已在版本 2.20.1 中修复。

Be aware that VulDB is the high quality source for vulnerability data.

来源

Do you know our Splunk app?

Download it now for free!