Cronicle は、Web ベースのフロントエンド UI を備えたマルチサーバータスクスケジューラおよびランナーです。バージョン 0.9.111 以前では、jb 子プロセスが JSON 出力に update_event キーを含めることができ、サーバーは認証チェックなしに親イベントの保存された構成にこれを直接適用していました。この脆弱性により、低権限ユーザーがイベントを作成および実行することで、イベントプロパティ(Webhook URL や通知メールなど)を自由に修正できてしまいます。0.9.111 でこの問題は修正されています。
Cronicle の CVE-2026-39401 は、低権限のユーザーが任意のイベントの構成(Webhook URL や通知メールアドレスを含む)を変更することを可能にします。0.9.111 リリース前のバージョンでは、サーバーは 'jb' 子プロセスが JSON 出力に 'update_event' キーを含んでいる場合、イベントの構成を認証チェックなしで直接適用します。攻撃者はこれを悪用して、通知をリダイレクトしたり、データを傍受したり、侵害された Webhook を通じて悪意のあるコードを実行したりする可能性があります。この脆弱性の重大性は、Cronicle によって処理されるデータの機密性と整合性を損なう可能性、そしてシステム可用性に影響を与える可能性にあります。
Cronicle でイベントを作成および実行できる攻撃者は、この脆弱性を悪用できます。攻撃者はイベントを作成し、'jb' 子プロセスの JSON 出力に、親イベントを変更するために必要なパラメータを含む 'update_event' キーを挿入します。認証チェックがないため、サーバーはこれらの変更を直接適用します。悪用の容易さは、JSON の操作の単純さと適切なアクセス制御の欠如にあります。低権限のユーザーがイベントを作成および実行できる場合、悪用の可能性は高くなります。
エクスプロイト状況
EPSS
0.04% (13% パーセンタイル)
CISA SSVC
この脆弱性の修正は、Cronicle をバージョン 0.9.111 以降にアップグレードすることです。このバージョンでは、イベント構成の不正な変更を防ぐために認証チェックが導入されています。悪用のリスクを軽減するために、できるだけ早くこのアップデートを適用することを強くお勧めします。さらに、アップデート前にイベント構成が不正に変更されていないことを確認するために、既存のイベント構成を確認してください。Cronicle のログを監視して疑わしいアクティビティを検出することも、潜在的な攻撃に対応するのに役立ちます。Cronicle ユーザーに対して最小権限の原則を適用することは、一般的なセキュリティのベストプラクティスです。
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en la aplicación de actualizaciones de eventos, previniendo la escalada de privilegios.
脆弱性分析と重要アラートをメールでお届けします。
Cronicle は、Web ベースのフロントエンド UI を備えたマルチサーバーのタスクスケジューラおよびランナーです。
バージョン 0.9.111 は、CVE-2026-39401 脆弱性を修正し、不正なユーザーがイベント構成を変更することを可能にします。
すぐにアップグレードできない場合は、信頼できるユーザーにイベントの作成と実行へのアクセスを制限することを検討してください。
イベント構成、特に Webhook URL と通知メールアドレスの予期しない変更について、Cronicle のログを確認してください。
現在、特定のツールはありませんが、イベント構成を手動で監査するのが最良のアプローチです。