CRITICAL🇬🇧 English

CVE-2026-41176

Rclone RC: pominięcie uwierzytelnienia przez endpoint options/set

CVSS 9.2v4.0pub. 2026-04-23upd. 2026-06-30

W Rclone istnieje luka Auth Bypass (CWE-306) umożliwiająca nieuwierzytelnionemu atakującemu zdalne wyłączenie mechanizmu autoryzacji serwera RC. Podatność jest krytyczna, ponieważ daje pełny dostęp do administracyjnych funkcji zarządzania konfiguracją i operacjami bez żadnych poświadczeń.

Pokaż oryginał (EN)

Rclone is a command-line program to sync files and directories to and from different cloud storage providers. The RC endpoint `options/set` is exposed without `AuthRequired: true`, but it can mutate global runtime configuration, including the RC option block itself. Starting in version 1.45.0 and prior to version 1.73.5, an unauthenticated attacker can set `rc.NoAuth=true`, which disables the authorization gate for many RC methods registered with `AuthRequired: true` on reachable RC servers that are started without global HTTP authentication. This can lead to unauthorized access to sensitive administrative functionality, including configuration and operational RC methods. Version 1.73.5 patches the issue.

🤖 Analiza AI
Jak działa

Endpoint RC o nazwie `options/set` jest udostępniany bez flagi `AuthRequired: true`, co oznacza, że jest dostępny publicznie bez uwierzytelnienia. Atakujący może wysłać do tego endpointu żądanie ustawiające opcję `rc.NoAuth=true`, co powoduje globalne wyłączenie bramy autoryzacyjnej dla wszystkich pozostałych metod RC zarejestrowanych z `AuthRequired: true`. W efekcie, po wykonaniu tego jednego nieautoryzowanego wywołania, wszystkie chronione dotychczas endpointy RC stają się dostępne dla każdego bez uwierzytelnienia. Podatność dotyczy serwerów RC uruchomionych bez globalnego uwierzytelnienia HTTP.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do wrażliwych funkcji administracyjnych serwera RC, w tym możliwość odczytu i modyfikacji konfiguracji oraz sterowania operacjami Rclone (np. synchronizacją plików z dostawcami chmury).

Mitygacja

Należy zaktualizować Rclone do wersji 1.73.5, która zawiera poprawkę eliminującą tę podatność. Jako dodatkowe zabezpieczenie, do czasu aktualizacji, zaleca się uruchamianie serwera RC z włączonym globalnym uwierzytelnieniem HTTP (flaga `--rc-user` i `--rc-pass` lub `--rc-htpasswd`) oraz ograniczenie dostępu sieciowego do serwera RC wyłącznie do zaufanych hostów.

Kogo dotyczy

Rclone w wersjach od 1.45.0 do 1.73.4 (przed wersją 1.73.5), w których serwer RC jest uruchomiony bez globalnego uwierzytelnienia HTTP.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Rclone

    APP
    Rclone
    1.45 – 1.73.5 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-49980CRITICAL9.8PL ✓ten sam produkt

Rclone RCD: nieuwierzytelniony command injection przez inline konfigurację zdalną

CVE-2026-41179CRITICAL9.2PL ✓ten sam produkt

Rclone: nieuwierzytelnione RCE przez endpoint RC operations/fsinfo

CVE-2020-28924HIGH7.5ten sam produkt

An issue was discovered in Rclone before 1.53.3. Due to the use of a weak random number generator, the passwor...

CVE-2018-12907HIGH7.5ten sam produkt

In Rclone 1.42, use of "rclone sync" to migrate data between two Google Cloud Storage buckets might allow atta...