Plateforme
linux
Composant
cronicle
Corrigé dans
0.9.112
Cronicle est un planificateur de tâches multi-serveur avec une interface utilisateur web. Avant la version 0.9.111, les processus enfants 'jb' pouvaient inclure une clé 'update_event' dans leur sortie JSON, permettant à un utilisateur non autorisé de modifier la configuration des événements parents, notamment les URL de webhook et les notifications par e-mail. Cette vulnérabilité affecte les versions de Cronicle comprises entre 0.9.0 et 0.9.10. Une correction est disponible dans la version 0.9.111.
La vulnérabilité CVE-2026-39401 dans Cronicle permet à des utilisateurs de faible privilège de modifier la configuration de n'importe quel événement, y compris les URL de webhook et les adresses e-mail de notification. Avant la version 0.9.111, le serveur applique directement les mises à jour à la configuration stockée de l'événement parent, sans vérifications d'autorisation, lorsque le processus enfant 'jb' inclut une clé 'update_event' dans sa sortie JSON. Un attaquant peut exploiter cela pour rediriger les notifications, intercepter des données ou même exécuter du code malveillant via des webhooks compromis. La gravité réside dans le potentiel de compromettre l'intégrité et la confidentialité des données traitées par Cronicle, et potentiellement la disponibilité du système.
Un attaquant disposant de la capacité de créer et d'exécuter des événements dans Cronicle peut exploiter cette vulnérabilité. L'attaquant créerait un événement et, dans la sortie JSON du processus enfant 'jb', inclurait une clé 'update_event' avec les paramètres souhaités pour modifier l'événement parent. En raison de l'absence de vérifications d'autorisation, le serveur appliquerait directement ces modifications. La facilité d'exploitation réside dans la simplicité de la manipulation JSON et l'absence de contrôles d'accès appropriés. La probabilité d'exploitation est élevée si des utilisateurs de faible privilège ont la capacité de créer et d'exécuter des événements.
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
La correction de cette vulnérabilité consiste à mettre à niveau Cronicle vers la version 0.9.111 ou ultérieure. Cette version introduit une vérification d'autorisation pour empêcher la modification non autorisée des configurations d'événements. Il est fortement recommandé d'appliquer cette mise à niveau dès que possible pour atténuer le risque d'exploitation. De plus, examinez les configurations d'événements existantes pour vous assurer qu'elles n'ont pas été modifiées malicieusement avant la mise à niveau. Surveiller les journaux de Cronicle à la recherche d'activités suspectes peut également aider à détecter et à répondre aux attaques potentielles. L'application du principe du moindre privilège pour les utilisateurs de Cronicle est une bonne pratique de sécurité générale.
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en la aplicación de actualizaciones de eventos, previniendo la escalada de privilegios.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Cronicle est un planificateur et exécuteur de tâches multi-serveurs avec une interface utilisateur web.
La version 0.9.111 corrige la vulnérabilité CVE-2026-39401, qui permet aux utilisateurs non autorisés de modifier les configurations d'événements.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de restreindre l'accès à la création et à l'exécution d'événements aux utilisateurs de confiance.
Examinez les journaux de Cronicle à la recherche de modifications inattendues dans les configurations d'événements, en particulier les URL de webhook et les adresses e-mail de notification.
Actuellement, il n'existe pas d'outils spécifiques, mais un audit manuel des configurations d'événements est la meilleure approche.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.