CVE-2026-34072Cr*nMaster是一款提供人类可读语法的Cronjob管理UI工具。在2.2.0版本之前,该应用中间件存在严重的认证绕过漏洞。由于会话验证逻辑缺陷,当验证请求失败时,携带无效会话Cookie的未认证请求会被系统错误地视为已认证用户。攻击者可利用此漏洞绕过身份验证,直接访问受保护的管理页面,并执行具有特权的Next.js服务端操作,导致系统面临完全接管风险。建议用户尽快升级至安全版本。
该漏洞的核心在于Cronmaster中间件对会话验证请求失败时的异常处理机制存在缺陷。在正常的认证流程中,中间件应向后端服务发起fetch请求以校验Session Cookie的有效性。然而,当该fetch请求因为网络波动、后端服务响应超时或返回非预期状态码而失败时,代码逻辑未能正确抛出错误或拒绝访问,反而由于逻辑漏洞,将验证失败等同于“验证通过”或忽略验证步骤,直接放行了请求。这意味着攻击者无需知晓有效的用户凭证,只需在请求头中携带任意格式的Session Cookie,即可欺骗中间件。一旦绕过中间件,攻击者即可直接访问原本仅限管理员访问的受保护页面。更为严重的是,由于该应用基于Next.js构建,且其服务端操作依赖于中间件进行权限控制,攻击者可以进一步利用特权Server Actions执行敏感操作,可能导致远程代码执行、数据窃取或系统破坏。