CVE-2026-41176

Nome do Software Vulnerável e Versões Afetadas Rclone versões 1.45.0 até 1.73.4

Description Existe uma falha de bypass de autorização na interface de Controle Remoto (RC) do Rclone. O endpoint de RC "options/set" está exposto sem exigir autenticação, permitindo que um invasor não autenticado modifique a configuração de tempo de execução global. Especificamente, um invasor pode definir a variável rc.NoAuth como true, o que desativa a barreira de autorização para diversos outros métodos de RC que normalmente exigiriam autenticação. Isso ocorre em servidores RC iniciados sem autenticação HTTP global que estejam acessíveis pela rede.

Essa falha pode levar ao acesso não autorizado a funcionalidades administrativas sensíveis, incluindo métodos de configuração e operacionais como "config/listremotes", "config/dump", "config/get", "operations/list", "operations/copyfile" e "core/command". Em certas configurações, isso pode possibilitar a leitura de arquivos locais, a exposição de credenciais e configurações, a enumeração do sistema de arquivos e a execução remota de comandos através da função metadataMapper().

Recommendations Atualize para a versão 1.73.5. Restrinja o acesso de rede às interfaces de Controle Remoto. Evite iniciar o servidor RC sem autenticação HTTP global (por exemplo, garanta o uso de --rc-user, --rc-pass ou --rc-htpasswd).