CVE-2026-49980
KrytyczneCVSS 9.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 49 — wyżej niż 49% wszystkich znanych CVE
Streszczenie
Rclone w wersjach od 1.46.0 do 1.74.2 zawiera podatność w trybie serwera (rcd --rc-serve), która pozwala nieuwierzytelnionym żądaniom GET i HEAD na wykonywanie dowolnych poleceń systemowych. Atakujący może wykorzystać specjalnie spreparowane URL-e do inicjalizacji backendu z opcjami wykonującymi lokalne polecenia.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu (RCE) bez uwierzytelnienia, co może prowadzić do pełnego przejęcia kontroli nad systemem, kradzieży danych lub dalszego ataku na infrastrukturę.
Rekomendacja
Niezwłocznie zaktualizuj Rclone do wersji 1.74.3 lub nowszej. Jeśli aktualizacja nie jest możliwa, wyłącz tryb serwera (rcd --rc-serve) lub ogranicz dostęp do niego za pomocą zapory sieciowej.
Oryginalny opis (angielski, źródło NVD)
Rclone is a command-line program to sync files and directories to and from different cloud storage providers. From 1.46.0 until 1.74.3, rclone rcd --rc-serve accepts unauthenticated GET and HEAD requests to paths of the form: /[remote:path]/object. The remote value is parsed from the URL and passed to normal backend initialization. Inline remote configuration can set backend options that execute local commands during initialization. As a result, a single unauthenticated GET or HEAD request can execute a command as the rclone process user. This vulnerability is fixed in 1.74.3.

