CVE-2026-34072: 身份验证绕过在 Cr*nMaster 中

CVE-2026-34072 影响 Cr*nMaster，这是一款具有人类可读语法、实时日志记录和 cronjob 日志历史记录的 Cronjob 管理 UI。 漏洞在于中间件中的身份验证绕过。 在版本 2.2.0 之前，如果中间件的会话验证获取失败，则具有无效会话 Cookie 的未身份验证请求可能会被视为已身份验证。 这允许未经授权访问受保护的页面以及未经授权执行特权 Next.js 服务器操作。 潜在影响重大，因为攻击者可能会破坏 cronjob 和它们所依赖的系统的完整性和机密性，从而可能以提升的权限执行任意命令。

Organizations utilizing CrnMaster to manage cronjobs, particularly those with sensitive data or critical infrastructure managed through cronjobs, are at risk. Environments with legacy configurations or those relying on default CrnMaster settings are especially vulnerable. Shared hosting environments where multiple users share the same Cr*nMaster instance are also at increased risk.

• nextjs / server: Examine Next.js Server Action logs for unexpected execution patterns or unauthorized access attempts. Look for requests originating from unusual IP addresses or user agents. • generic web: Monitor access logs for requests containing suspicious session cookie values. Use grep to search for patterns indicative of attempted cookie manipulation. • generic web: Use curl to test the authentication bypass by sending requests with a deliberately invalid session cookie. Verify that the application does not properly reject the request.

curl -b 'session_cookie=invalid_value' http://your-crnmaster-instance/admin

1. 2026-04-01Disclosure

   disclosure

1. 已保留2026-03-25
2. 发布日期2026-04-01
3. EPSS 更新日期2026-04-09

建议的解决方案是将 CrnMaster 升级到版本 2.2.0 或更高版本。 此版本包含身份验证绕过漏洞的修复程序。 在执行升级之前，请考虑实施额外的安全措施，例如将对 CrnMaster UI 的访问限制为授权用户，并监控系统日志是否存在可疑活动。 检查网络配置，以确保仅授权 IP 地址才能访问服务。 此外，将与 Cr*nMaster 交互的用户帐户应用于最小权限原则。