PT-2026-41030 · Crabbox · Crabbox
Publicado
2026-05-14
·
Atualizado
2026-05-14
·
CVE-2026-8629
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
Crabbox versões anteriores a 0.12.0
Descrição
Verificações de controle de acesso insuficientes permitem que usuários com acesso compartilhado apenas de visibilidade escalem privilégios. Ao enviar solicitações POST para os endpoints "/v1/leases/:id/code/ticket", "/v1/leases/:id/webvnc/ticket" e "/v1/leases/:id/egress/ticket", invasores podem obter tickets de agente de Código, WebVNC e Egress. Isso permite a personificação de bridges do lado do lease confiáveis, apesar de o usuário possuir apenas permissões de visibilidade.
Recomendações
Atualize para a versão 0.12.0 ou posterior.
Exploit
Correção
LPE
IDOR
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Crabbox