CVE-2026-45229

Nome do Software Vulnerável e Versões Afetadas Quark Drive versões anteriores a 0.8.5

Descrição Um problema de atribuição em massa existe no endpoint "POST /update". Atacantes autenticados podem sobrescrever credenciais de administrador enviando um objeto webui arbitrário para o dicionário config data. Isso é possível devido à filtragem insuficiente de lista de negação (deny-list), o que permite a substituição permanente das credenciais de login armazenadas. Consequentemente, administradores legítimos podem ser bloqueados e atacantes podem obter acesso persistente a todas as tarefas configuradas, tokens de nuvem e serviços de notificação.

Recomendações Atualize para a versão 0.8.5 ou posterior.