CVE-2026-39401 是 Cronicle 任务调度器中的一个权限提升漏洞。由于子进程输出的 JSON 数据中包含未经授权的 update_event 键,服务器直接将其应用于父事件的配置,导致低权限用户可以修改任何事件属性。此漏洞影响 Cronicle 0.9.0 到 0.9.10 版本。该漏洞已在 0.9.111 版本中修复。
Cronicle 中的 CVE-2026-39401 允许低权限用户修改任何事件的配置,包括 Webhook URL 和通知电子邮件地址。在 0.9.111 版本之前,服务器会在 'jb' 子进程的 JSON 输出中包含 'update_event' 键时,直接将更新应用于父事件的存储配置,而没有进行授权检查。攻击者可以利用此漏洞重定向通知、拦截数据,或通过受损的 Webhook 执行恶意代码。此漏洞的严重性在于它可能损害 Cronicle 处理的数据的机密性和完整性,并可能影响系统的可用性。
具有在 Cronicle 中创建和运行事件能力的攻击者可以利用此漏洞。攻击者将创建一个事件,并在 'jb' 子进程的 JSON 输出中包含一个 'update_event' 键,其中包含用于修改父事件所需的参数。由于缺乏授权检查,服务器将直接应用这些修改。利用的简易性在于 JSON 操作的简单性和缺乏适当的访问控制。如果低权限用户具有创建和运行事件的能力,则利用的可能性很高。
漏洞利用状态
EPSS
0.04% (13% 百分位)
CISA SSVC
此漏洞的修复方法是将 Cronicle 升级到 0.9.111 或更高版本。此版本引入了授权检查,以防止未经授权地修改事件配置。强烈建议尽快应用此更新以降低被利用的风险。此外,请检查现有的事件配置,以确保它们在升级之前没有被恶意修改。监控 Cronicle 日志以查找可疑活动也可以帮助检测和响应潜在攻击。为 Cronicle 用户实施最小权限原则是一种通用的安全最佳实践。
Actualice Cronicle a la versión 0.9.111 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de autorización en la aplicación de actualizaciones de eventos, previniendo la escalada de privilegios.
漏洞分析和关键警报直接发送到您的邮箱。
Cronicle 是一个具有基于 Web 的前端 UI 的多服务器任务调度器和运行器。
0.9.111 版本修复了 CVE-2026-39401 漏洞,该漏洞允许未经授权的用户修改事件配置。
如果无法立即升级,请考虑限制对创建和运行事件的访问权限,仅限于受信任的用户。
检查 Cronicle 日志中是否存在事件配置的意外修改,特别是 Webhook URL 和通知电子邮件地址。
目前没有特定的工具,但手动审核事件配置是最佳方法。