Katalog CVE

CVE-2026-49980

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.70%

Percentyl 49 — wyżej niż 49% wszystkich znanych CVE

Streszczenie

Rclone w wersjach od 1.46.0 do 1.74.2 zawiera podatność w trybie serwera (rcd --rc-serve), która pozwala nieuwierzytelnionym żądaniom GET i HEAD na wykonywanie dowolnych poleceń systemowych. Atakujący może wykorzystać specjalnie spreparowane URL-e do inicjalizacji backendu z opcjami wykonującymi lokalne polecenia.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu (RCE) bez uwierzytelnienia, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych lub dalszego ataku na infrastrukturę.

Rekomendacja

Niezwłocznie zaktualizuj Rclone do wersji 1.74.3 lub nowszej. Jeśli aktualizacja nie jest możliwa, wyłącz tryb serwera (rcd --rc-serve) lub ogranicz dostęp do niego za pomocą zapory sieciowej.

Oryginalny opis (angielski, źródło NVD)

Rclone is a command-line program to sync files and directories to and from different cloud storage providers. From 1.46.0 until 1.74.3, rclone rcd --rc-serve accepts unauthenticated GET and HEAD requests to paths of the form: /[remote:path]/object. The remote value is parsed from the URL and passed to normal backend initialization. Inline remote configuration can set backend options that execute local commands during initialization. As a result, a single unauthenticated GET or HEAD request can execute a command as the rclone process user. This vulnerability is fixed in 1.74.3.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS