Die Schwachstelle betrifft rclone, ein Kommandozeilenprogramm zum Synchronisieren von Dateien und Verzeichnissen mit verschiedenen Cloud-Speicheranbietern. Sie tritt auf, wenn rclone im Server-Modus mit aktivierter Fernsteuerung betrieben wird: In dieser Betriebsart nimmt der Dienst unauthentifizierte GET- und HEAD-Anfragen entgegen, deren Pfad ein sogenanntes Remote-Ziel angibt. Dieser aus der URL ausgelesene Wert wird an die normale Initialisierung des Speicher-Backends weitergereicht. Das Problem: In der Anfrage lässt sich eine Remote-Konfiguration einbetten, die Backend-Optionen setzt, und einige dieser Optionen führen während der Initialisierung lokale Befehle aus. Dadurch kann bereits eine einzige unauthentifizierte GET- oder HEAD-Anfrage einen Befehl mit den Rechten des Benutzers ausführen, unter dem der rclone-Prozess läuft. Ein Angreifer benötigt weder Zugangsdaten noch eine vorherige Anmeldung; es genügt, dass er die Server-Schnittstelle über das Netz erreichen kann.
CVE-2026-49980
9,8
CRITICAL
CVSS Basis-Score
Beschreibung