PT-2026-41030 · Crabbox · Crabbox

Publicado

2026-05-14

·

Atualizado

2026-05-14

·

CVE-2026-8629

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas Crabbox versões anteriores a 0.12.0
Descrição Verificações de controle de acesso insuficientes permitem que usuários com acesso compartilhado apenas de visibilidade escalem privilégios. Ao enviar solicitações POST para os endpoints "/v1/leases/:id/code/ticket", "/v1/leases/:id/webvnc/ticket" e "/v1/leases/:id/egress/ticket", invasores podem obter tickets de agente de Código, WebVNC e Egress. Isso permite a personificação de bridges do lado do lease confiáveis, apesar de o usuário possuir apenas permissões de visibilidade.
Recomendações Atualize para a versão 0.12.0 ou posterior.

Exploit

Correção

LPE

IDOR

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-8629

Produtos afetados

Crabbox