| タイトル | Rcloneにおける複数の脆弱性 |
|---|---|
| 概要 | Rcloneは、さまざまなクラウドストレージプロバイダーとファイルやディレクトリを同期するためのコマンドラインプログラムです。バージョン1.46.0から1.74.3までの間、rclone rcd --rc-serveは認証されていないGETおよびHEADリクエストを、形式が/[remote:path]/objectのパスに対して受け入れていました。remoteの値はURLから解析され、通常のバックエンド初期化に渡されます。インラインリモート構成では、初期化中にローカルコマンドを実行するバックエンドオプションを設定できます。その結果、認証されていない単一のGETまたはHEADリクエストによってrcloneプロセスユーザーとしてコマンドが実行される可能性がありました。この脆弱性はバージョン1.74.3で修正されました。 |
| 想定される影響 | ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| 対策 | ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年6月24日0:00 |
| 登録日 | 2026年6月30日11:25 |
| 最終更新日 | 2026年6月30日11:25 |
| CVSS3.0 : 緊急 | |
| スコア | 9.8 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| Rclone |
| Rclone 1.46 以上 1.74.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年06月30日] 掲載 |
2026年6月30日11:25 |
| 概要 | Rclone is a command-line program to sync files and directories to and from different cloud storage providers. From 1.46.0 until 1.74.3, rclone rcd --rc-serve accepts unauthenticated GET and HEAD requests to paths of the form: /[remote:path]/object. The remote value is parsed from the URL and passed to normal backend initialization. Inline remote configuration can set backend options that execute local commands during initialization. As a result, a single unauthenticated GET or HEAD request can execute a command as the rclone process user. This vulnerability is fixed in 1.74.3. |
|---|---|
| 公表日 | 2026年6月25日4:17 |
| 登録日 | 2026年6月27日4:23 |
| 最終更新日 | 2026年6月30日1:11 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:rclone:rclone:*:*:*:*:*:*:*:* | 1.46 | 1.74.3 | |||