PT-2026-31020 · Cronicle · Cronicle
Morimori-Dev
·
Publicado
2026-04-07
·
Atualizado
2026-04-08
·
CVE-2026-39401
CVSS v3.1
5.4
Média
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N |
Name of the Vulnerable Software and Affected Versions
Cronicle versões anteriores a 0.9.111
Description
Cronicle é um agendador e executor de tarefas multi-servidor, com uma interface de usuário web. Antes da versão 0.9.111, processos filhos de tarefas (jb) podiam incluir uma chave
update event em sua saída JSON. O servidor aplicava isso diretamente à configuração armazenada do evento pai sem verificações de autorização. Um usuário com poucos privilégios, capaz de criar e executar eventos, poderia modificar qualquer propriedade do evento, incluindo URLs de webhook e e-mails de notificação.Recommendations
Atualize para a versão 0.9.111 ou posterior.
Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Cronicle