Plattform
linux
Komponente
cronicle
Behoben in
0.9.112
CVE-2026-39401 affects Cronicle, a multi-server task scheduler and runner. This vulnerability allows a low-privilege user to escalate their privileges by modifying event configurations, potentially altering webhook URLs and notification emails. The issue impacts versions 0.9.0 through 0.9.10, and a fix is available in version 0.9.111.
CVE-2026-39401 in Cronicle ermöglicht es Benutzern mit geringen Rechten, die Konfiguration eines beliebigen Ereignisses zu ändern, einschließlich Webhook-URLs und Benachrichtigungs-E-Mail-Adressen. Vor Version 0.9.111 wendet der Server Aktualisierungen direkt auf die gespeicherte Konfiguration des übergeordneten Ereignisses an, ohne Autorisierungsprüfungen durchzuführen, wenn ein 'jb'-Kindprozess einen 'update_event'-Schlüssel in seiner JSON-Ausgabe enthält. Ein Angreifer könnte dies ausnutzen, um Benachrichtigungen umzuleiten, Daten abzufangen oder sogar bösartigen Code über kompromittierte Webhooks auszuführen. Die Schwere liegt im Potenzial, die Integrität und Vertraulichkeit der von Cronicle verarbeiteten Daten und möglicherweise die Verfügbarkeit des Systems zu gefährden.
Ein Angreifer, der die Möglichkeit hat, Ereignisse in Cronicle zu erstellen und auszuführen, kann diese Schwachstelle ausnutzen. Der Angreifer würde ein Ereignis erstellen und in der JSON-Ausgabe des 'jb'-Kindprozesses einen 'update_event'-Schlüssel mit den gewünschten Parametern zum Ändern des übergeordneten Ereignisses einfügen. Aufgrund des Fehlens von Autorisierungsprüfungen würde der Server diese Änderungen direkt anwenden. Die einfache Ausnutzbarkeit liegt in der Einfachheit der JSON-Manipulation und dem Fehlen geeigneter Zugriffskontrollen. Die Wahrscheinlichkeit einer Ausnutzung ist hoch, wenn Benutzer mit geringen Rechten die Möglichkeit haben, Ereignisse zu erstellen und auszuführen.
Exploit-Status
EPSS
0.04% (13% Perzentil)
CISA SSVC
Die Behebung dieser Schwachstelle besteht darin, Cronicle auf Version 0.9.111 oder höher zu aktualisieren. Diese Version führt eine Autorisierungsprüfung ein, um die unbefugte Änderung von Ereigniskonfigurationen zu verhindern. Es wird dringend empfohlen, dieses Update so schnell wie möglich anzuwenden, um das Risiko einer Ausnutzung zu mindern. Überprüfen Sie außerdem die vorhandenen Ereigniskonfigurationen, um sicherzustellen, dass sie vor dem Update nicht böswillig geändert wurden. Die Überwachung der Cronicle-Protokolle auf verdächtige Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und darauf zu reagieren. Die Anwendung des Prinzips der geringsten Privilegien für Cronicle-Benutzer ist eine allgemeine Sicherheitsempfehlung.
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en la aplicación de actualizaciones de eventos, previniendo la escalada de privilegios.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Cronicle ist ein Multi-Server-Task-Scheduler und -Runner mit einer webbasierten Benutzeroberfläche.
Version 0.9.111 behebt die CVE-2026-39401-Schwachstelle, die es nicht autorisierten Benutzern ermöglicht, Ereigniskonfigurationen zu ändern.
Wenn Sie nicht sofort aktualisieren können, sollten Sie den Zugriff auf die Erstellung und Ausführung von Ereignissen auf vertrauenswürdige Benutzer beschränken.
Überprüfen Sie die Cronicle-Protokolle auf unerwartete Änderungen in den Ereigniskonfigurationen, insbesondere in den Webhook-URLs und Benachrichtigungs-E-Mail-Adressen.
Derzeit gibt es keine spezifischen Tools, aber eine manuelle Überprüfung der Ereigniskonfigurationen ist der beste Ansatz.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.