Krytyczna luka w rclone umożliwiająca nieautoryzowane wykonanie poleceń lokalnych

Luka w rclone (do wersji 1.73.4) pozwala na nieautoryzowane wykonanie lokalnych poleceń. Zalecana aktualizacja do wersji 1.73.5.
CVE-2026-41179CVSS 9.2General

Krytyczna luka w rclone umożliwiająca nieautoryzowane wykonanie poleceń lokalnych

Luka w rclone (do wersji 1.73.4) pozwala na nieautoryzowane wykonanie lokalnych poleceń. Zalecana aktualizacja do wersji 1.73.5.

CVSS
9.2 CRITICAL
EPSS
94.71%
Aktywnie wykorzystywana
brak w KEV
Produkt
rclone

Co wiadomo

W rclone w wersjach od 1.48.0 do 1.73.4 endpoint RC operations/fsinfo jest dostępny bez wymogu uwierzytelnienia i pozwala na wstrzyknięcie kontrolowanego przez atakującego backendu. W przypadku backendu WebDAV możliwe jest nieautoryzowane wykonanie lokalnych poleceń podczas inicjalizacji, co stwarza poważne ryzyko dla systemów z dostępem do RC.

Wpływ biznesowy

Luka o wysokiej krytyczności (CVSS 9.2) pozwala atakującemu na zdalne wykonanie poleceń bez uwierzytelnienia, co może prowadzić do przejęcia kontroli nad systemem lub wycieku danych. Operatorzy IT i właściciele infrastruktury korzystającej z rclone powinni traktować tę lukę jako priorytetową do zaadresowania, zwłaszcza w środowiskach z publicznie dostępnym interfejsem RC.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie rclone do wersji 1.73.5 lub nowszej, w której luka została załatana. W przypadku braku możliwości natychmiastowej aktualizacji, ograniczyć dostęp do endpointu RC operations/fsinfo, wprowadzić uwierzytelnianie globalne dla interfejsu HTTP oraz monitorować logi pod kątem podejrzanych aktywności. Przegląd konfiguracji backendów i ograniczenie możliwości definiowania inline backendów również zwiększy bezpieczeństwo.

Źródła