CVE-2026-41179

Nome do Software Vulnerável e Versões Afetadas Rclone versões 1.48.0 até 1.73.4

Description O endpoint RC "operations/fsinfo" está exposto sem autenticação e aceita a entrada fs controlada por um invasor. Como a função rc.GetFs() suporta definições de backend inline, um invasor não autenticado pode instanciar um backend sob demanda. Especificamente, para o backend WebDAV, o bearer token command é executado durante a inicialização, permitindo a execução local de comandos não autenticados em uma única requisição em implantações de RC acessíveis que não possuam autenticação HTTP global.

Recommendations Atualize para a versão 1.73.5. Como medida paliativa temporária, restrinja o acesso ao endpoint "operations/fsinfo" ou habilite a autenticação HTTP global do RC usando --rc-user, --rc-pass ou --rc-htpasswd para evitar o acesso não autenticado.