Katalog CVE

CVE-2026-30924

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

qui to interfejs webowy do zarządzania instancjami qBittorrent. Wersje 1.14.1 i wcześniejsze stosują zbyt liberalną politykę CORS, która odzwierciedla dowolne źródła, umożliwiając zewnętrznym stronom internetowym wykonywanie uwierzytelnionych żądań w imieniu zalogowanego użytkownika.

Ocena ryzyka

Atakujący może wykorzystać tę podatność, aby oszukać ofiarę do załadowania złośliwej strony, co może prowadzić do wycieku wrażliwych danych, takich jak klucze API i dane logowania, a nawet do pełnego przejęcia systemu.

Rekomendacja

Zaleca się aktualizację do wersji nowszej niż 1.14.1, aby załatać tę podatność oraz wdrożenie ścisłej polityki CORS, aby ograniczyć dostęp do aplikacji tylko do zaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

qui is a web interface for managing qBittorrent instances. Versions 1.14.1 and below use a permissive CORS policy that reflects arbitrary origins while also returning Access-Control-Allow-Credentials: true, effectively allowing any external webpage to make authenticated requests on behalf of a logged-in user. An attacker can exploit this by tricking a victim into loading a malicious webpage, which silently interacts with the application using the victim's session and potentially exfiltrating sensitive data such as API keys and account credentials, or even achieving full system compromise through the built-in External Programs manager. Exploitation requires that the victim access the application via a non-localhost hostname and load an attacker-controlled webpage, making highly targeted social-engineering attacks the most likely real-world scenario. This issue was not fixed at the time of publication.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS