Plataforma
go
Componente
panel
Corrigido em
3.9.1
Uma vulnerabilidade crítica foi descoberta no Convoy Panel, um painel de gerenciamento de servidor KVM. A falha, identificada como CVE-2026-33746, reside na função JWTService::decode() que não valida corretamente a assinatura criptográfica de tokens JWT. Isso permite que um atacante falsifique ou manipule o conteúdo dos tokens, potencialmente executando código remotamente. A vulnerabilidade afeta versões 3.9.0-beta e posteriores até a versão 4.5.0 e foi corrigida na versão 4.5.1.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante comprometa a segurança do Convoy Panel e, potencialmente, os servidores KVM gerenciados por ele. Ao falsificar tokens JWT, um atacante pode se autenticar como qualquer usuário, incluindo administradores, e executar comandos com seus privilégios. Isso pode levar à exfiltração de dados confidenciais, modificação de configurações do servidor, instalação de malware ou até mesmo o controle total do sistema. A ausência de validação da assinatura do token significa que um atacante pode alterar o user_uuid no payload, assumindo a identidade de qualquer usuário no sistema. A severidade crítica desta vulnerabilidade a coloca em um nível de risco elevado, exigindo atenção imediata.
O CVE-2026-33746 foi publicado em 2026-04-02. A vulnerabilidade está listada no KEV (Known Exploited Vulnerabilities) da CISA, indicando uma probabilidade alta de exploração ativa. Embora um Proof of Concept (PoC) público não tenha sido amplamente divulgado, a natureza crítica da vulnerabilidade e sua facilidade de exploração a tornam um alvo atraente para atores maliciosos. A ausência de validação da assinatura do token se assemelha a padrões de exploração observados em outras vulnerabilidades de JWT, aumentando o risco de ataques automatizados.
Hosting businesses utilizing Convoy Panel to manage their KVM infrastructure are at significant risk. Specifically, deployments using older versions (3.9.0-beta through 4.5.0) are vulnerable. Shared hosting environments where multiple users share a single Convoy Panel instance are particularly exposed, as a compromise of one user's account could lead to broader system access.
• linux / server:
journalctl -u convoy-panel | grep -i "JWT decode failed"• generic web:
curl -I <convoy_panel_url>/api/v1/users/me | grep -i "Authorization: Bearer"Inspect the Authorization header for malformed or suspicious JWT tokens. • generic web: Review Convoy Panel access logs for unusual user agent strings or IP addresses attempting to access sensitive endpoints.
disclosure
kev
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2026-33746 é a atualização imediata para a versão 4.5.1 do Convoy Panel. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais como uma camada de proteção. Implementar um Web Application Firewall (WAF) com regras para validar a assinatura dos tokens JWT pode ajudar a bloquear tentativas de exploração. Além disso, revise as configurações de segurança do Convoy Panel, garantindo que apenas usuários autorizados tenham acesso ao painel. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de acesso não autorizado ou manipulação de tokens.
Atualize o Convoy Panel para a versão 4.5.1 ou superior. Esta versão corrige a vulnerabilidade de omissão de verificação de assinatura JWT. A atualização garante que os tokens JWT sejam validados corretamente, prevenindo a autenticação como usuários arbitrários.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-33746 is a critical vulnerability in Convoy Panel versions 3.9.0-beta through 4.5.0 where JWT tokens are not properly validated, allowing attackers to forge or tamper with payloads.
If you are running Convoy Panel versions 3.9.0-beta through 4.5.0, you are affected by this vulnerability. Upgrade immediately.
Upgrade Convoy Panel to version 4.5.1 or later. Consider a WAF as a temporary mitigation if immediate upgrade is not possible.
While no active campaigns are confirmed, the vulnerability is listed on the CISA KEV catalog, suggesting a potential for exploitation.
Refer to the Convoy Panel security advisories on their official website or GitHub repository for the latest information and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.