Impatto Sistemico

Critico (79.23)

Sintesi

Disponibili Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2026-41176 e CVE-2026-41179 – già sanate dal vendor – presenti nella Remote Control API (RC) di Rclone, noto tool open source per la gestione, sincronizzazione e copia di file remoti.

Tipologia

• Authentication Bypass
• Remote Code Execution

Descrizione e potenziali impatti

Disponibili Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2026-41176 e CVE-2026-41179 – già sanate dal vendor – presenti nella Remote Control API (RC) di Rclone.

Nel dettaglio, la prima vulnerabilità, identificata tramite la CVE-2026-41176 – di tipo “ Missing Authentication for Critical Function ” e con score CVSS v4.0 pari a 9.2 – è causata da una mancata applicazione dei controlli di autenticazione su una funzione altamente privilegiata: la vulnerabilità consentirebbe a un attaccante remoto non autenticato, in determinate condizioni, di disabilitare i controlli di autorizzazione sugli endpoint Remote Control API (RC) tramite l’invio di una richiesta HTTP opportunamente predisposta che imposta il parametro rc.NoAuth = true.

Avendo disabilitato i controlli, l’attaccante riesce ad ottenere accesso, in lettura e scrittura, ai file di configurazione, attraverso l’utilizzo delle API operative, e potrebbe, inoltre, estrarre token OAuth, chiavi API e segreti cloud, con conseguente compromissione dei servizi cloud collegati a Rclone.

La seconda vulnerabilità, identificata tramite la CVE-2026-41179 – di tipo “ OS Command Injection ” e con score CVSS v4.0 pari a 9.2 – è dovuta a una mancata protezione dell’endpoint operations/fsinfo: nel dettaglio, la vulnerabilità consentirebbe ad un attaccante remoto non autenticato di inviare una richiesta HTTP manipolata verso l’endpoint (qualora quest’ultimo sia esposto senza autenticazione o qualora l’attaccante riesca a sfruttare la CVE-2026-41176 per eludere l’autenticazione).

Sfruttando la funzionalità di Rclone che consente di definire backend direttamente nella richiesta, l’attaccante potrebbe quindi dichiarare un backend fittizio, che, durante l’inizializzazione, supporti l’opzione bearer_token_command , progettata per eseguire comandi di sistema.

A questo punto, poiché il comando non viene validato, Rclone esegue automaticamente il comando fornito dall’attaccante nel momento in cui tenta di inizializzare il backend, permettendo l’esecuzione remota di codice senza credenziali.

Prodotti e/o versioni affette

Rclone versioni dalla 1.45.0 fino alla 1.73.4 incluse

N.B. Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nei relativi bollettini di sicurezza.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.