Platform
linux
Component
cronicle
Opgelost in
0.9.112
CVE-2026-39401 affects Cronicle, a multi-server task scheduler and runner. This vulnerability allows a low-privilege user to escalate their privileges by modifying event configurations, potentially altering webhook URLs and notification emails. The issue impacts versions 0.9.0 through 0.9.10, and a fix is available in version 0.9.111.
CVE-2026-39401 in Cronicle stelt gebruikers met lage privileges in staat om de configuratie van elk event te wijzigen, inclusief webhook URL's en notificatie e-mailadressen. Voor versie 0.9.111 paste de server updates direct toe op de opgeslagen configuratie van het bovenliggende event, zonder autorisatiecontroles uit te voeren, wanneer een 'jb' kindproces een 'update_event' sleutel in zijn JSON output bevat. Een aanvaller kan dit misbruiken om notificaties om te leiden, data te onderscheppen of zelfs kwaadaardige code uit te voeren via gecompromitteerde webhooks. De ernst ligt in het potentieel om de integriteit en vertrouwelijkheid van de data die door Cronicle wordt verwerkt, en mogelijk de beschikbaarheid van het systeem, in gevaar te brengen.
Een aanvaller met de mogelijkheid om events in Cronicle te creëren en uit te voeren, kan deze kwetsbaarheid misbruiken. De aanvaller zou een event creëren en in de JSON output van het 'jb' kindproces een 'update_event' sleutel invoegen met de gewenste parameters om het bovenliggende event te wijzigen. Vanwege het ontbreken van autorisatiecontroles zou de server deze wijzigingen direct toepassen. De eenvoud van het misbruik ligt in de eenvoud van JSON manipulatie en het ontbreken van adequate toegangscontroles. De waarschijnlijkheid van misbruik is hoog als gebruikers met lage privileges de mogelijkheid hebben om events te creëren en uit te voeren.
Exploit Status
EPSS
0.04% (13% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om Cronicle te upgraden naar versie 0.9.111 of hoger. Deze versie introduceert een autorisatiecontrole om ongeautoriseerde wijzigingen van eventconfiguraties te voorkomen. Het wordt ten zeerste aanbevolen om deze update zo snel mogelijk toe te passen om het risico op misbruik te verminderen. Controleer bovendien bestaande eventconfiguraties om te zorgen dat ze niet kwaadaardig zijn gewijzigd voordat de update wordt uitgevoerd. Het monitoren van Cronicle logs op verdachte activiteiten kan ook helpen bij het detecteren en reageren op potentiële aanvallen. Het toepassen van het principe van minimale privileges voor Cronicle gebruikers is een algemene beveiligingsbest practice.
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en la aplicación de actualizaciones de eventos, previniendo la escalada de privilegios.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Cronicle is een multi-server taakplanner en runner met een web-based front-end UI.
Versie 0.9.111 fixeert de CVE-2026-39401 kwetsbaarheid, die ongeautoriseerde gebruikers in staat stelt om eventconfiguraties te wijzigen.
Als u niet direct kunt upgraden, overweeg dan om de toegang tot het creëren en uitvoeren van events te beperken tot vertrouwde gebruikers.
Controleer Cronicle logs op onverwachte wijzigingen in eventconfiguraties, met name webhook URL's en notificatie e-mailadressen.
Momenteel zijn er geen specifieke tools, maar een handmatige audit van eventconfiguraties is de beste aanpak.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.