Krytyczna luka w rclone umożliwiająca nieautoryzowaną zmianę konfiguracji

Luka w rclone pozwala na nieautoryzowany dostęp do konfiguracji. Zaktualizuj do wersji 1.73.5, aby zabezpieczyć system przed atakami.
CVE-2026-41176CVSS 9.2General

Krytyczna luka w rclone umożliwiająca nieautoryzowaną zmianę konfiguracji

Luka w rclone pozwala na nieautoryzowany dostęp do konfiguracji. Zaktualizuj do wersji 1.73.5, aby zabezpieczyć system przed atakami.

CVSS
9.2 CRITICAL
EPSS
98.22%
Aktywnie wykorzystywana
brak w KEV
Produkt
rclone

Co wiadomo

Rclone, narzędzie do synchronizacji plików w chmurze, ma lukę pozwalającą nieautoryzowanym atakującym na wyłączenie mechanizmu autoryzacji i dostęp do funkcji administracyjnych. Luka dotyczy wersji od 1.45.0 do 1.73.4 i umożliwia modyfikację globalnej konfiguracji runtime bez uwierzytelnienia.

Wpływ biznesowy

Atakujący mogą uzyskać nieautoryzowany dostęp do wrażliwych funkcji administracyjnych rclone, co stwarza ryzyko przejęcia kontroli nad konfiguracją i operacjami systemu. Może to prowadzić do poważnych naruszeń bezpieczeństwa, w tym manipulacji danymi i zakłóceń w działaniu usług opartych na rclone.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie rclone do wersji 1.73.5 lub nowszej, która usuwa tę lukę. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do interfejsu RC, wprowadzić globalną autoryzację HTTP oraz monitorować logi pod kątem podejrzanych działań. Priorytetowo traktuj przegląd i zabezpieczenie środowiska rclone.

Źródła