Plateforme
go
Composant
panel
Corrigé dans
3.9.1
Une vulnérabilité de type Remote Code Execution (RCE) a été découverte dans Convoy Panel, un panneau de gestion de serveurs KVM. Cette faille critique, affectant les versions 3.9.0-beta jusqu'à 4.5.0, est due à une validation insuffisante des jetons JWT. La fonction JWTService::decode() ne vérifie pas la signature cryptographique, permettant à un attaquant de manipuler les payloads et potentiellement d'exécuter du code arbitraire. Une correction est disponible dans la version 4.5.1.
L'impact de cette vulnérabilité est significatif. Un attaquant capable de créer ou de modifier des jetons JWT peut compromettre la sécurité de l'ensemble du panneau Convoy. En falsifiant le payload d'un jeton, il pourrait modifier l'identité de l'utilisateur (user_uuid), accéder à des données sensibles, exécuter des commandes sur le serveur et potentiellement prendre le contrôle complet de l'infrastructure hébergée. Cette vulnérabilité présente un risque élevé de compromission, similaire à des failles d'authentification mal configurées qui permettent un accès non autorisé à des systèmes critiques.
Cette vulnérabilité a été ajoutée au catalogue KEV (Know Exploited Vulnerabilities) de CISA, indiquant une probabilité d'exploitation active. Des preuves concrètes d'exploitation active ne sont pas encore disponibles au moment de la publication, mais la sévérité élevée et l'ajout au KEV suggèrent une vigilance accrue. La vulnérabilité a été rendue publique le 2026-04-02.
Hosting businesses utilizing Convoy Panel to manage their KVM infrastructure are at significant risk. Specifically, deployments using older versions (3.9.0-beta through 4.5.0) are vulnerable. Shared hosting environments where multiple users share a single Convoy Panel instance are particularly exposed, as a compromise of one user's account could lead to broader system access.
• linux / server:
journalctl -u convoy-panel | grep -i "JWT decode failed"• generic web:
curl -I <convoy_panel_url>/api/v1/users/me | grep -i "Authorization: Bearer"Inspect the Authorization header for malformed or suspicious JWT tokens. • generic web: Review Convoy Panel access logs for unusual user agent strings or IP addresses attempting to access sensitive endpoints.
disclosure
kev
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Convoy Panel vers la version 4.5.1, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, envisagez de mettre en œuvre des mesures temporaires. Il est possible de renforcer la validation des jetons JWT au niveau de l'application, en s'assurant que la contrainte SignedWith est incluse dans le processus de validation. L'utilisation d'un Web Application Firewall (WAF) configuré pour bloquer les jetons JWT malformés peut également offrir une protection supplémentaire. Surveillez attentivement les journaux d'accès et d'erreurs pour détecter toute activité suspecte liée à la manipulation de jetons.
Mettez à jour Convoy Panel à la version 4.5.1 ou supérieure. Cette version corrige la vulnérabilité d'omission de vérification de signature JWT. La mise à jour garantit que les jetons JWT sont validés correctement, empêchant l'authentification en tant qu'utilisateurs arbitraires.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33746 is a critical vulnerability in Convoy Panel versions 3.9.0-beta through 4.5.0 where JWT tokens are not properly validated, allowing attackers to forge or tamper with payloads.
If you are running Convoy Panel versions 3.9.0-beta through 4.5.0, you are affected by this vulnerability. Upgrade immediately.
Upgrade Convoy Panel to version 4.5.1 or later. Consider a WAF as a temporary mitigation if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability is listed on the CISA KEV catalog, suggesting a potential for exploitation.
Refer to the Convoy Panel security advisories on their official website or GitHub repository for the latest information and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.