Platform
go
Component
panel
Opgelost in
3.9.1
CVE-2026-33746 is een kritieke kwetsbaarheid in Convoy Panel, een KVM server management panel. Deze kwetsbaarheid stelt een aanvaller in staat om JWT (JSON Web Token) tokens te vervalsen door de handtekeningvalidatie te omzeilen. Dit kan leiden tot ongeautoriseerde toegang en potentieel volledige controle over het systeem. De kwetsbaarheid treft versies 3.9.0-beta en hoger, tot en met versies kleiner dan 4.5.1. Een fix is beschikbaar in versie 4.5.1.
De impact van deze kwetsbaarheid is significant. Door de JWT handtekeningvalidatie te omzeilen, kan een aanvaller de user_uuid claim in een JWT token wijzigen. Dit betekent dat de aanvaller zich kan voordoen als een andere gebruiker, inclusief beheerders, en toegang kan krijgen tot gevoelige data en functies binnen het Convoy Panel. Een succesvolle exploitatie kan leiden tot ongeautoriseerde configuratiewijzigingen, data-exfiltratie, en zelfs volledige controle over de beheerde KVM servers. De kwetsbaarheid is vergelijkbaar met andere JWT signature bypass kwetsbaarheden die in vergelijkbare systemen zijn aangetroffen, waar een gebrek aan correcte validatie de deur openzet voor misbruik.
Deze kwetsbaarheid is opgenomen in het CISA KEV catalogus (KEV). Er zijn momenteel geen publieke proof-of-concept exploits beschikbaar, maar de kritieke ernst en de relatieve eenvoud van de exploitatie maken het waarschijnlijk dat dit in de toekomst zal veranderen. De publicatiedatum van de CVE is 2026-04-02, wat suggereert dat de kwetsbaarheid recent is ontdekt.
Hosting businesses utilizing Convoy Panel to manage their KVM infrastructure are at significant risk. Specifically, deployments using older versions (3.9.0-beta through 4.5.0) are vulnerable. Shared hosting environments where multiple users share a single Convoy Panel instance are particularly exposed, as a compromise of one user's account could lead to broader system access.
• linux / server:
journalctl -u convoy-panel | grep -i "JWT decode failed"• generic web:
curl -I <convoy_panel_url>/api/v1/users/me | grep -i "Authorization: Bearer"Inspect the Authorization header for malformed or suspicious JWT tokens. • generic web: Review Convoy Panel access logs for unusual user agent strings or IP addresses attempting to access sensitive endpoints.
disclosure
kev
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het upgraden naar Convoy Panel versie 4.5.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen. Beperk de toegang tot het Convoy Panel via een firewall en implementeer sterke authenticatie methoden. Monitor de logs op verdachte activiteiten, zoals ongebruikelijke gebruikersnamen of wijzigingen in configuratiebestanden. Het is belangrijk om te controleren of de JWT tokens correct worden gevalideerd in de applicatiecode. Na de upgrade, controleer de logs op eventuele onverwachte fouten en bevestig dat de JWT validatie correct functioneert door te proberen een vervalst token te gebruiken.
Actualiseer Convoy Panel naar versie 4.5.1 of hoger. Deze versie corrigeert de kwetsbaarheid van omissie van JWT signatuur verificatie. De update zorgt ervoor dat JWT tokens correct worden gevalideerd, waardoor authenticatie als willekeurige gebruikers wordt voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-33746 is a critical vulnerability in Convoy Panel versions 3.9.0-beta through 4.5.0 where JWT tokens are not properly validated, allowing attackers to forge or tamper with payloads.
If you are running Convoy Panel versions 3.9.0-beta through 4.5.0, you are affected by this vulnerability. Upgrade immediately.
Upgrade Convoy Panel to version 4.5.1 or later. Consider a WAF as a temporary mitigation if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability is listed on the CISA KEV catalog, suggesting a potential for exploitation.
Refer to the Convoy Panel security advisories on their official website or GitHub repository for the latest information and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.