CVE-2026-45229Quark Drive 0.8.5之前的版本在POST /update端点存在严重的批量赋值漏洞。由于应用程序对config_data字典的过滤机制仅依赖不完善的拒绝列表,经过身份验证的攻击者可以发送特制的webui对象。这允许攻击者覆盖存储的管理员凭据,锁定合法管理员,并获取对系统任务、云令牌及通知服务的持久控制权。
该漏洞的核心在于Quark Drive处理配置更新时的参数绑定逻辑。当系统接收到发往`POST /update`端点的请求时,会将用户提交的`config_data`直接映射到内部配置对象中。尽管开发者试图通过拒绝列表来阻止敏感字段被修改,但该列表并不完整,未能覆盖`webui`对象下的管理员凭据字段。攻击者只需拥有低权限账户,即可构造包含恶意`webui`键值对的JSON数据包(例如修改username和password)。当服务器处理该请求时,恶意数据会直接覆盖原有的管理员配置。这种利用方式无需复杂的用户交互,一旦成功,攻击者即可永久接管系统最高权限。