CRITICAL🇬🇧 English

CVE-2026-30924

Permissywna polityka CORS z przekazywaniem poświadczeń w Getqui Qui

CVSS 9.0v4.0pub. 2026-03-19upd. 2026-04-23

Aplikacja Qui (interfejs webowy do zarządzania instancjami qBittorrent) w wersjach 1.14.1 i wcześniejszych stosuje błędnie skonfigurowaną politykę CORS, która odzwierciedla dowolne zewnętrzne źródła i jednocześnie zwraca nagłówek Access-Control-Allow-Credentials: true. Umożliwia to dowolnej złośliwej stronie internetowej wykonywanie uwierzytelnionych żądań w imieniu zalogowanego użytkownika, co może prowadzić do pełnego przejęcia kontroli nad systemem.

Pokaż oryginał (EN)

qui is a web interface for managing qBittorrent instances. Versions 1.14.1 and below use a permissive CORS policy that reflects arbitrary origins while also returning Access-Control-Allow-Credentials: true, effectively allowing any external webpage to make authenticated requests on behalf of a logged-in user. An attacker can exploit this by tricking a victim into loading a malicious webpage, which silently interacts with the application using the victim's session and potentially exfiltrating sensitive data such as API keys and account credentials, or even achieving full system compromise through the built-in External Programs manager. Exploitation requires that the victim access the application via a non-localhost hostname and load an attacker-controlled webpage, making highly targeted social-engineering attacks the most likely real-world scenario. This issue was not fixed at the time of publication.

🤖 Analiza AI
Jak działa

Serwer aplikacji Qui nieprawidłowo konfiguruje politykę CORS — odbija w odpowiedzi dowolną wartość nagłówka Origin przesłaną przez przeglądarkę, jednocześnie zezwalając na dołączanie plików cookie sesji (Access-Control-Allow-Credentials: true). Atakujący tworzy złośliwą stronę internetową, do której wabi ofiarę metodami socjotechnicznymi. Po załadowaniu strony przeglądarka ofiary automatycznie wysyła uwierzytelnione żądania do aplikacji Qui z kontekstem aktywnej sesji użytkownika. W ten sposób atakujący może po cichu wyeksfiltrować wrażliwe dane lub wydawać polecenia poprzez wbudowany mechanizm External Programs manager.

Skutki

Atakujący może uzyskać dostęp do kluczy API, danych uwierzytelniających oraz innych wrażliwych informacji zarządzanych przez aplikację, a poprzez mechanizm External Programs manager może doprowadzić do pełnego przejęcia kontroli nad systemem operacyjnym, na którym działa aplikacja.

Mitygacja

W momencie publikacji podatności poprawka nie była dostępna. Należy monitorować repozytorium producenta (https://github.com/autobrr/qui) pod kątem wydania łatki. Jako tymczasowe obejście zaleca się udostępnianie aplikacji Qui wyłącznie pod adresem localhost lub ograniczenie dostępu do niej za pomocą firewalla lub VPN, co uniemożliwia spełnienie warunków koniecznych do exploitacji.

Kogo dotyczy

Getqui Qui w wersjach 1.14.1 i wcześniejszych. Warunkiem skutecznego ataku jest dostęp ofiary do aplikacji przez adres inny niż localhost oraz odwiedzenie przez nią strony kontrolowanej przez atakującego.

Uwagi

Według opisu podatność nie została naprawiona w chwili publikacji (2026-03-19). Dostępny jest commit naprawczy pod adresem https://github.com/autobrr/qui/commit/424f7a0de089dce881e8bbecd220163a78e0295f, który może zawierać poprawkę wydaną po dacie publikacji CVE.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:H/VI:H/VA:L/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Getqui Qui

    APP
    Getqui
    < 1.15.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2026-30924 — Permissywna polityka CORS z przekazywaniem poświadczeń w Getqui Qui — CRITICAL 9.0 | CVEbaza.pl