CVE-2026-34072: 認証バイパス in Cr*nMaster

CVE-2026-34072 は、CrnMaster に影響を与えます。CrnMaster は、人間が読みやすい構文、ライブロギング、および cronjob のログ履歴を備えた Cronjob 管理 UI です。脆弱性は、ミドルウェア内の認証バイパスにあります。バージョン 2.2.0 より前は、ミドルウェアのセッション検証フェッチが失敗した場合、無効なセッション Cookie を持つ認証されていないリクエストが認証されたものとして扱われる可能性があります。これにより、保護されたページへの不正アクセスと、特権 Next.js サーバーアクションの不正実行が可能になります。潜在的な影響は大きく、攻撃者は cronjob とそれらが依存するシステムの整合性と機密性を損なう可能性があり、昇格された特権で任意のコマンドを実行する可能性があります。

Organizations utilizing CrnMaster to manage cronjobs, particularly those with sensitive data or critical infrastructure managed through cronjobs, are at risk. Environments with legacy configurations or those relying on default CrnMaster settings are especially vulnerable. Shared hosting environments where multiple users share the same Cr*nMaster instance are also at increased risk.

• nextjs / server: Examine Next.js Server Action logs for unexpected execution patterns or unauthorized access attempts. Look for requests originating from unusual IP addresses or user agents. • generic web: Monitor access logs for requests containing suspicious session cookie values. Use grep to search for patterns indicative of attempted cookie manipulation. • generic web: Use curl to test the authentication bypass by sending requests with a deliberately invalid session cookie. Verify that the application does not properly reject the request.

curl -b 'session_cookie=invalid_value' http://your-crnmaster-instance/admin

1. 2026-04-01Disclosure

   disclosure

1. 予約済み2026-03-25
2. 公開日2026-04-01
3. EPSS 更新日2026-04-09

推奨される解決策は、CrnMaster をバージョン 2.2.0 以降にアップグレードすることです。このバージョンには、認証バイパスの脆弱性に対する修正が含まれています。アップグレードを実行するまで、CrnMaster UI へのアクセスを承認されたユーザーに制限し、システムログを不審なアクティビティがないか監視するなど、追加のセキュリティ対策を実装することを検討してください。サービスにアクセスできる IP アドレスを承認されたものだけに制限するようにネットワーク構成を確認してください。さらに、Cr*nMaster と対話するユーザーアカウントに最小限の特権の原則を適用してください。