CVE-2026-44184Cleanuparr是一款自动化清理工具。在其2.9.10之前的版本中,存在严重的CORS配置错误漏洞。由于系统允许任意跨域源携带凭证,且在启用本地地址免认证时仅依赖IP地址进行验证,导致攻击者可诱导管理员访问恶意链接。通过利用此漏洞,攻击者能够跨域读取经过身份验证的API响应,进而窃取管理员的高权限API密钥,造成严重的信息泄露风险。
该漏洞的核心在于Cleanuparr错误的CORS配置与弱认证机制的结合。首先,应用程序的全局CORS策略直接反射请求中的Origin头部,并设置了Access-Control-Allow-Credentials,这意味着浏览器允许跨域请求携带Cookie等凭证。其次,当系统开启DisableAuthForLocalAddresses选项时,使用了TrustedNetworkAuthenticationHandler,仅根据客户端的IP地址决定是否通过认证,而不验证具体的令牌。因此,位于受信任网络(如局域网)内的用户一旦访问了攻击者构造的恶意网页,该网页即可通过JavaScript向后台Cleanuparr服务发起跨域请求。由于IP受信任且CORS配置允许,浏览器会将Cookie(或会话信息)带过去,服务器返回包含管理员永久API密钥的敏感数据,恶意网页随即捕获这些数据并发送给攻击者。