CVE-2026-41179
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Bardzo wysokie ryzykoPercentyl 95 — wyżej niż 95% wszystkich znanych CVE
Streszczenie
W Rclone od wersji 1.48.0 do 1.73.4 punkt końcowy RC `operations/fsinfo` jest dostępny bez wymaganego uwierzytelnienia i akceptuje kontrolowane przez atakującego dane wejściowe `fs`. Umożliwia to nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń na serwerze poprzez wykorzystanie backendu WebDAV z parametrem `bearer_token_command`.
Ocena ryzyka
Organizacja narażona jest na zdalne wykonanie dowolnych poleceń systemowych przez nieuwierzytelnionego atakującego, co może prowadzić do pełnej kompromitacji serwera, kradzieży danych lub przejęcia kontroli nad infrastrukturą chmurową.
Rekomendacja
Należy natychmiast zaktualizować Rclone do wersji 1.73.5 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy wyłączyć dostęp do punktu końcowego RC lub skonfigurować globalne uwierzytelnianie HTTP.
Oryginalny opis (angielski, źródło NVD)
Rclone is a command-line program to sync files and directories to and from different cloud storage providers. Starting in version 1.48.0 and prior to version 1.73.5, the RC endpoint `operations/fsinfo` is exposed without `AuthRequired: true` and accepts attacker-controlled `fs` input. Because `rc.GetFs(...)` supports inline backend definitions, an unauthenticated attacker can instantiate an attacker-controlled backend on demand. For the WebDAV backend, `bearer_token_command` is executed during backend initialization, making single-request unauthenticated local command execution possible on reachable RC deployments without global HTTP authentication. Version 1.73.5 patches the issue.

