Crabbox before 0.9.0 contains an authentication bypass vulnerability in the coordinator user...

概要

AI要約 openai / gpt-4o

Crabbox 0.9.0より前のバージョンに、admin権限への昇格を可能にする認証バイパスの脆弱性があります。この問題はverifyUserToken()関数がadminクレームを含むペイロードを拒否できないため、攻撃者がadmin専用ルートにアクセスできることに起因しています。結果として、攻撃者は共同使用の非adminトークンにアクセスすることで、管理者レベルの操作が可能となります。

❓ 何が問題か

Crabboxにおける認証バイパスの脆弱性。

📍 影響範囲

バージョン0.9.0未満のCrabboxの協調ユーザートークン検証パス。

🔥 重要度

この脆弱性は、攻撃者が管理者としてのシステムアクセスを取得する可能性があるため重大です。

🔧 修正方法

問題を修正するには、バージョン0.9.0にアップデートしてください。

🛡️ 暫定回避

情報なし

🔍 検知方法

verifyUserToken() 関数の動作を確認し、adminクレームが拒否されるかテストしてください。

参照URL

web [email protected]
web 134c704f-9b21-4f2e-91b3-4a467353bcc0
web [email protected]
web [email protected]
web https://nvd.nist.gov/vuln/detail/CVE-2026-45223
web https://github.com/advisories/GHSA-27v8-7qqq-m35q

メタデータ

CVE: CVE-2026-45223
GHSA: GHSA-27v8-7qqq-m35q
公開日: 2026-05-11
SecPulse初出: 2日前
初出ソース: NIST National Vulnerability Database

タグ (クリックで解説)

言語

攻撃タイプ

認証バイパス

CWE

Cwe 290

CWE

CWE-290

検知ソース

NIST National Vulnerability Database 1日前
GitHub Security Advisories (Global) 2日前

概要

AI要約 openai / gpt-4o

参照URL

🍪 Cookie について