Rclone Auth Bypass and RCE Vulnerabilities With Public PoC Exploits
Summary
Italy's CSIRT has issued a critical alert (AL02/260427/CSIRT-ITA) publishing that Proof of Concept (PoC) exploits are now publicly available for two critical vulnerabilities — CVE-2026-41176 and CVE-2026-41179 — in Rclone's Remote Control API. CVE-2026-41176 (CVSS v4.0: 9.2) is a Missing Authentication for Critical Function flaw enabling unauthenticated remote attackers to disable RC API authorization controls via rc.NoAuth=true, exposing cloud OAuth tokens, API keys, and cloud secrets. CVE-2026-41179 (CVSS v4.0: 9.2) is an OS Command Injection flaw allowing unauthenticated remote code execution through a manipulated HTTP request to the operations/fsinfo endpoint. Affected versions are Rclone 1.45.0 through 1.73.4 inclusive; both vulnerabilities have been patched by the vendor.
Organizations running Rclone with any exposure of the Remote Control API — whether internet-facing, VPN-accessible, or internal-facing in multi-tenant environments — should treat this as an immediate patching priority. The chained exploitation path (CVE-2026-41176 to disable auth, then CVE-2026-41179 for RCE) means that a successful attack could result not only in host compromise but in exfiltration of all cloud credentials and secrets stored in or accessible through Rclone. Security teams should inventory all Rclone installations, confirm the RC API is not unintentionally exposed, and verify patching to a version beyond 1.73.4.
About this source
GovPing monitors Italy CSIRT Advisories for new data privacy & cybersecurity regulatory changes. Every update since tracking began is archived, classified, and available as free RSS or email alerts — 21 changes logged to date.
What changed
CSIRT-ITA has published an Alert (AL02/260427/CSIRT-ITA) disclosing that public Proof of Concept exploits are now available for two critical vulnerabilities in Rclone, an open-source tool for remote file management and cloud synchronization. The first, CVE-2026-41176 (CVSS v4.0 score 9.2), is a Missing Authentication for Critical Function vulnerability where a remote unauthenticated attacker can set rc.NoAuth=true to disable RC API authorization, then read/write config files and extract OAuth tokens, API keys, and cloud secrets. The second, CVE-2026-41179 (CVSS v4.0 score 9.2), is an OS Command Injection vulnerability in the operations/fsinfo endpoint where an attacker can declare a fake backend supporting bearertokencommand to execute arbitrary system commands without credentials.
Organizations using Rclone with exposed Remote Control API should treat this as an urgent patching priority. Any instance where the RC API is internet-facing or accessible from untrusted networks is at critical risk of unauthenticated remote code execution. Even instances accessible only internally face elevated risk if the authentication bypass (CVE-2026-41176) can be triggered first. All affected organizations should update to a patched version per the vendor's security bulletins.
Archived snapshot
Apr 28, 2026GovPing captured this document from the original source. If the source has since changed or been removed, this is the text as it existed at that time.
Rclone: disponibili PoC per lo sfruttamento delle CVE-2026-41176 e CVE-2026-41179
**
Alert**
AL02/260427/CSIRT-ITA
Condividi
- Facebook
- Twitter
- LinkedIn
- Whatsapp
Sintesi
Disponibili Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2026-41176 e CVE-2026-41179 - già sanate dal vendor - presenti nella Remote Control API (RC) di Rclone, noto tool open source per la gestione, sincronizzazione e copia di file remoti.
Tipologia
- Authentication Bypass
- Remote Code Execution
Descrizione e potenziali impatti
Disponibili Proof of Concept (PoC) per lo sfruttamento delle vulnerabilità CVE-2026-41176 e CVE-2026-41179 - già sanate dal vendor - presenti nella Remote Control API (RC) di Rclone.
Nel dettaglio, la prima vulnerabilità, identificata tramite la CVE-2026-41176 - di tipo “ Missing Authentication for Critical Function ” e con score CVSS v4.0 pari a 9.2 – è causata da una mancata applicazione dei controlli di autenticazione su una funzione altamente privilegiata: la vulnerabilità consentirebbe a un attaccante remoto non autenticato, in determinate condizioni, di disabilitare i controlli di autorizzazione sugli endpoint Remote Control API (RC) tramite l’invio di una richiesta HTTP opportunamente predisposta che imposta il parametro rc.NoAuth = true.
Avendo disabilitato i controlli, l’attaccante riesce ad ottenere accesso, in lettura e scrittura, ai file di configurazione, attraverso l’utilizzo delle API operative, e potrebbe, inoltre, estrarre token OAuth, chiavi API e segreti cloud, con conseguente compromissione dei servizi cloud collegati a Rclone.
La seconda vulnerabilità, identificata tramite la CVE-2026-41179 - di tipo “ OS Command Injection ” e con score CVSS v4.0 pari a 9.2 – è dovuta a una mancata protezione dell’endpoint operations/fsinfo: nel dettaglio, la vulnerabilità consentirebbe ad un attaccante remoto non autenticato di inviare una richiesta HTTP manipolata verso l’endpoint (qualora quest’ultimo sia esposto senza autenticazione o qualora l’attaccante riesca a sfruttare la CVE-2026-41176 per eludere l’autenticazione).
Sfruttando la funzionalità di Rclone che consente di definire backend direttamente nella richiesta, l’attaccante potrebbe quindi dichiarare un backend fittizio, che, durante l’inizializzazione, supporti l’opzione bearertokencommand, progettata per eseguire comandi di sistema.
A questo punto, poiché il comando non viene validato, Rclone esegue automaticamente il comando fornito dall’attaccante nel momento in cui tenta di inizializzare il backend, permettendo l’esecuzione remota di codice senza credenziali.
Prodotti e/o versioni affette
Rclone versioni dalla 1.45.0 fino alla 1.73.4 incluse
N.B. Si evidenzia che i prodotti elencati risultano vulnerabili nel caso in cui siano configurati come indicato nei relativi bollettini di sicurezza.
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione In linea con le dichiarazioni del vendor, si raccomanda di aggiornare i prodotti vulnerabili seguendo le indicazioni dei bollettini di sicurezza riportati nella sezione Riferimenti.
CVE (2)
Cerca:
| CVE | POC | EXPLOITATION |
| --- | --- | --- |
| CVE-2026-41179 | Presente | - |
| CVE-2026-41176 | Presente | - |
Riferimenti (3)
- https://rclone.org/changelog/?diffydate=1776604831
- https://github.com/rclone/rclone/security/advisories/GHSA-25qr-6mpr-f7qx
- https://github.com/rclone/rclone/security/advisories/GHSA-jfwf-28xr-xw6q
Change log
| Versione | Note | Data |
|---|---|---|
| 1.0 | Pubblicato il 27-04-2026 | 27/04/2026 |
Impatto sistemico
Critico (79.23)
Argomenti
Data pubblicazione
27/04/26 ore 14:08
Data Ultimo Aggiornamento
27/04/26 ore 14:08
Related changes
Get daily alerts for Italy CSIRT Advisories
Daily digest delivered to your inbox.
Free. Unsubscribe anytime.
About this page
Every important government, regulator, and court update from around the world. One place. Real-time. Free. Our mission
Source document text, dates, docket IDs, and authority are extracted directly from CSIRT-IT.
The summary, classification, recommended actions, deadlines, and penalty information are AI-generated from the original text and may contain errors. Always verify against the source document.
Classification
Who this affects
Taxonomy
Browse Categories
Get alerts for this source
We'll email you when Italy CSIRT Advisories publishes new changes.
Subscribed!
Optional. Filters your digest to exactly the updates that matter to you.