Convoy: Bypass na Verificação da Assinatura JWT Permite Autenticação como Usuários Arbitrários
Plataforma
go
Componente
panel
Corrigido em
3.9.1
Uma vulnerabilidade crítica foi descoberta no Convoy Panel, um painel de gerenciamento de servidor KVM. A falha, identificada como CVE-2026-33746, reside na função JWTService::decode() que não valida corretamente a assinatura criptográfica de tokens JWT. Isso permite que um atacante falsifique ou manipule o conteúdo dos tokens, potencialmente executando código remotamente. A vulnerabilidade afeta versões 3.9.0-beta e posteriores até a versão 4.5.0 e foi corrigida na versão 4.5.1.
Detecte esta CVE no seu projeto
Envie seu arquivo go.mod e descubra na hora se você está afetado.
Impacto e Cenários de Ataque
A exploração bem-sucedida desta vulnerabilidade permite que um atacante comprometa a segurança do Convoy Panel e, potencialmente, os servidores KVM gerenciados por ele. Ao falsificar tokens JWT, um atacante pode se autenticar como qualquer usuário, incluindo administradores, e executar comandos com seus privilégios. Isso pode levar à exfiltração de dados confidenciais, modificação de configurações do servidor, instalação de malware ou até mesmo o controle total do sistema. A ausência de validação da assinatura do token significa que um atacante pode alterar o user_uuid no payload, assumindo a identidade de qualquer usuário no sistema. A severidade crítica desta vulnerabilidade a coloca em um nível de risco elevado, exigindo atenção imediata.
Contexto de Exploração
O CVE-2026-33746 foi publicado em 2026-04-02. A vulnerabilidade está listada no KEV (Known Exploited Vulnerabilities) da CISA, indicando uma probabilidade alta de exploração ativa. Embora um Proof of Concept (PoC) público não tenha sido amplamente divulgado, a natureza crítica da vulnerabilidade e sua facilidade de exploração a tornam um alvo atraente para atores maliciosos. A ausência de validação da assinatura do token se assemelha a padrões de exploração observados em outras vulnerabilidades de JWT, aumentando o risco de ataques automatizados.
Quem Está em Riscotraduzindo…
Hosting businesses utilizing Convoy Panel to manage their KVM infrastructure are at significant risk. Specifically, deployments using older versions (3.9.0-beta through 4.5.0) are vulnerable. Shared hosting environments where multiple users share a single Convoy Panel instance are particularly exposed, as a compromise of one user's account could lead to broader system access.
Passos de Detecçãotraduzindo…
• linux / server:
journalctl -u convoy-panel | grep -i "JWT decode failed"• generic web:
curl -I <convoy_panel_url>/api/v1/users/me | grep -i "Authorization: Bearer"Inspect the Authorization header for malformed or suspicious JWT tokens. • generic web: Review Convoy Panel access logs for unusual user agent strings or IP addresses attempting to access sensitive endpoints.
Linha do Tempo do Ataque
- Disclosure
disclosure
- CISA KEV
kev
Inteligência de Ameaças
Status do Exploit
EPSS
0.04% (percentil 13%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação primária para CVE-2026-33746 é a atualização imediata para a versão 4.5.1 do Convoy Panel. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais como uma camada de proteção. Implementar um Web Application Firewall (WAF) com regras para validar a assinatura dos tokens JWT pode ajudar a bloquear tentativas de exploração. Além disso, revise as configurações de segurança do Convoy Panel, garantindo que apenas usuários autorizados tenham acesso ao painel. Após a atualização, confirme a correção verificando os logs do sistema em busca de tentativas de acesso não autorizado ou manipulação de tokens.
Como corrigir
Atualize o Convoy Panel para a versão 4.5.1 ou superior. Esta versão corrige a vulnerabilidade de omissão de verificação de assinatura JWT. A atualização garante que os tokens JWT sejam validados corretamente, prevenindo a autenticação como usuários arbitrários.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentestraduzindo…
What is CVE-2026-33746 — JWT Forgery in Convoy Panel?
CVE-2026-33746 is a critical vulnerability in Convoy Panel versions 3.9.0-beta through 4.5.0 where JWT tokens are not properly validated, allowing attackers to forge or tamper with payloads.
Am I affected by CVE-2026-33746 in Convoy Panel?
If you are running Convoy Panel versions 3.9.0-beta through 4.5.0, you are affected by this vulnerability. Upgrade immediately.
How do I fix CVE-2026-33746 in Convoy Panel?
Upgrade Convoy Panel to version 4.5.1 or later. Consider a WAF as a temporary mitigation if immediate upgrade is not possible.
Is CVE-2026-33746 being actively exploited?
While no active campaigns are confirmed, the vulnerability is listed on the CISA KEV catalog, suggesting a potential for exploitation.
Where can I find the official Convoy Panel advisory for CVE-2026-33746?
Refer to the Convoy Panel security advisories on their official website or GitHub repository for the latest information and updates.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.