CVE-2026-45223

Nome do Software Vulnerável e Versões Afetadas Crabbox versões anteriores a 0.9.0

Descrição Existe uma falha de bypass de autenticação no caminho de verificação de token de usuário do coordenador. A função verifyUserToken() não rejeita payloads que contenham uma reivindicação de administrador, o que permite que invasores escalem privilégios. Um invasor com acesso a um token não administrativo compartilhado pode criar um payload de token de usuário com a variável admin definida como true, assiná-lo usando HMAC-SHA256 (uma função de hash criptográfica usada para verificar a integridade dos dados) e acessar rotas do coordenador exclusivas para administradores. Isso concede acesso total de administrador ao coordenador, incluindo visibilidade de concessões, gerenciamento de estado do pool e operações de liberação forçada.

Recomendações Atualize para a versão 0.9.0 ou posterior.