CRITICAL🇬🇧 English

CVE-2026-41179

Rclone: nieuwierzytelnione RCE przez endpoint RC operations/fsinfo

CVSS 9.2v4.0pub. 2026-04-23upd. 2026-06-30

Podatność w Rclone umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych (RCE) poprzez endpoint RC `operations/fsinfo`, który nie wymaga uwierzytelnienia. Luka jest krytyczna, ponieważ exploit może zostać przeprowadzony w ramach jednego żądania HTTP bez żadnych wymaganych uprawnień.

Pokaż oryginał (EN)

Rclone is a command-line program to sync files and directories to and from different cloud storage providers. Starting in version 1.48.0 and prior to version 1.73.5, the RC endpoint `operations/fsinfo` is exposed without `AuthRequired: true` and accepts attacker-controlled `fs` input. Because `rc.GetFs(...)` supports inline backend definitions, an unauthenticated attacker can instantiate an attacker-controlled backend on demand. For the WebDAV backend, `bearer_token_command` is executed during backend initialization, making single-request unauthenticated local command execution possible on reachable RC deployments without global HTTP authentication. Version 1.73.5 patches the issue.

🤖 Analiza AI
Jak działa

Endpoint RC `operations/fsinfo` nie ma ustawionej flagi `AuthRequired: true`, przez co jest dostępny bez uwierzytelnienia. Akceptuje on kontrolowany przez atakującego parametr `fs`, a mechanizm `rc.GetFs(...)` obsługuje tzw. inline backend definitions, pozwalając na dynamiczne tworzenie backendów według życzenia atakującego. Gdy atakujący wskaże backend WebDAV, opcja `bearer_token_command` jest wykonywana przez system operacyjny już podczas inicjalizacji backendu — jeszcze przed jakimkolwiek sprawdzeniem tożsamości użytkownika. W efekcie wystarczy jedno żądanie HTTP do dostępnej instancji RC, aby wykonać dowolne polecenie lokalne na serwerze.

Skutki

Nieuwierzytelniony atakujący może wykonać dowolne polecenia systemowe w kontekście procesu Rclone działającego na serwerze, co prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych lub dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować Rclone do wersji 1.73.5, która łata opisaną podatność. Do czasu aktualizacji zaleca się wyłączenie interfejsu RC lub zabezpieczenie go globalnym uwierzytelnieniem HTTP oraz ograniczenie dostępu do endpointu RC za pomocą firewall do zaufanych adresów IP.

Kogo dotyczy

Rclone w wersjach od 1.48.0 do 1.73.4 włącznie, z uruchomionym interfejsem RC (Remote Control) bez globalnego uwierzytelnienia HTTP.

Uwagi

Podatność dotyczy wyłącznie instancji Rclone z włączonym interfejsem RC (Remote Control), uruchomionym bez globalnego uwierzytelnienia HTTP. Domyślna konfiguracja Rclone bez RC nie jest podatna.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Rclone

    APP
    Rclone
    1.48.0 – 1.73.5 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-49980CRITICAL9.8PL ✓ten sam produkt

Rclone RCD: nieuwierzytelniony command injection przez inline konfigurację zdalną

CVE-2026-41176CRITICAL9.2PL ✓ten sam produkt

Rclone RC: pominięcie uwierzytelnienia przez endpoint options/set

CVE-2020-28924HIGH7.5ten sam produkt

An issue was discovered in Rclone before 1.53.3. Due to the use of a weak random number generator, the passwor...

CVE-2018-12907HIGH7.5ten sam produkt

In Rclone 1.42, use of "rclone sync" to migrate data between two Google Cloud Storage buckets might allow atta...