Crabbox before 0.9.0 contains an authentication bypass vulnerability in the coordinator user...

Summary

AI summary openai / gpt-4o

Crabbox 0.9.0より前のバージョンに、admin権限への昇格を可能にする認証バイパスの脆弱性があります。この問題はverifyUserToken()関数がadminクレームを含むペイロードを拒否できないため、攻撃者がadmin専用ルートにアクセスできることに起因しています。結果として、攻撃者は共同使用の非adminトークンにアクセスすることで、管理者レベルの操作が可能となります。

❓ What is the problem

Crabboxにおける認証バイパスの脆弱性。

📍 Affected scope

バージョン0.9.0未満のCrabboxの協調ユーザートークン検証パス。

🔥 Severity

この脆弱性は、攻撃者が管理者としてのシステムアクセスを取得する可能性があるため重大です。

🔧 How to fix

問題を修正するには、バージョン0.9.0にアップデートしてください。

🛡️ Workaround

情報なし

🔍 Detection

verifyUserToken() 関数の動作を確認し、adminクレームが拒否されるかテストしてください。

References

web [email protected]
web 134c704f-9b21-4f2e-91b3-4a467353bcc0
web [email protected]
web [email protected]
web https://nvd.nist.gov/vuln/detail/CVE-2026-45223
web https://github.com/advisories/GHSA-27v8-7qqq-m35q

Metadata

CVE: CVE-2026-45223
GHSA: GHSA-27v8-7qqq-m35q
Published: 2026-05-11
First seen on SecPulse: 2 days ago
First-seen source: NIST National Vulnerability Database

Tags (click for explanation)

Programming Languages

Attack Types

Authentication Bypass

CWE

Cwe 290

CWE

CWE-290

Detection sources

NIST National Vulnerability Database 1 day ago
GitHub Security Advisories (Global) 2 days ago

Summary

AI summary openai / gpt-4o

References

🍪 About cookies