CVE-2026-58466
Kritisk

CVE-2026-58466: Kritisk sårbarhed i AutoBangumi

AutoBangumi op til version 3.2.8 har hard-coded standardadgangskoder, der giver angribere fuld administratoradgang uden nogen form for godkendelse.

CVSS Score
9.8
Offentliggjort
02/07/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdater straks — inden for 24-48 timer

Hvad er det?

AutoBangumi er et open source-program til automatisk håndtering af RSS-feeds og downloadere — primært brugt til at automatisere mediehentning. Programmet opretter ved første opstart en standardbruger med et forudbestemt brugernavn og kodeord (kaldet ‘hard-coded credentials’). Problemet er, at disse standardoplysninger er offentligt kendte og aldrig fjernes automatisk, hvis ingen nye brugere oprettes. En angriber kan blot forsøge at logge ind med de kendte standardoplysninger og opnå fuld administratoradgang — helt uden at kende det rigtige kodeord. Sårbarheden er klassificeret som kritisk med en CVSS-score på 9.8 ud af 10.

Hvem rammer det?

Sårbarheden rammer alle, der kører AutoBangumi i en version ældre end 3.2.8, og som ikke manuelt har ændret eller slettet standardbrugeren. Det gælder især:

  • Virksomheder eller enkeltpersoner der har installeret AutoBangumi og eksponeret det på internettet
  • Brugere der har sat programmet op og ikke ændret standardloginoplysningerne
  • Installationer hvor brugertabellen er tom — dvs. ingen brugere er oprettet manuelt

Hvis dit AutoBangumi-installation er tilgængeligt fra internettet og kører en sårbar version, er risikoen meget høj.

Hvad kan ske?

En angriber der udnytter denne sårbarhed, får fuld kontrol over AutoBangumi-installationen. Det betyder konkret:

  • Fuld administratoradgang — angriberen kan gøre alt, hvad en administrator kan
  • Ændring af RSS-feeds og downloaderkonfiguration — angriberen kan opsætte ondsindede downloads eller omdirigere trafik
  • Adgang til alle API-endepunkter — alle funktioner i systemet er tilgængelige
  • Potentiel adgang til det underliggende system — afhængigt af opsætningen kan angriberen bevæge sig videre ind i dit netværk

Hvor alvorligt er det?

Dette er en kritisk sårbarhed med den næsthøjeste mulige CVSS-score på 9.8 ud af 10. Angrebet kræver:

  • Ingen særlig teknisk viden — standardoplysningerne er offentligt kendte
  • Ingen adgangskode eller forudgående adgang — alle kan forsøge
  • Ingen brugerinteraktion fra din side — angriberen handler alene
  • Angreb kan udføres over internettet fra hele verden

Kombinationen af lav angrebsbarriere og fuld systemkontrol gør dette til et af de mest alvorlige typer sikkerhedshuller.

Hvad gør jeg nu?

Handle hurtigt. Følg disse trin for at beskytte din installation:

  1. Opdater straks til AutoBangumi version 3.2.8 eller nyere — dette lukker sårbarheden.
  2. Tjek om standardbrugeren stadig eksisterer — log ind og se om der er en bruger oprettet af systemet ved opstart. Slet den, hvis den findes.
  3. Skift alle adgangskoder — ændre kodeord på alle brugerkonti i systemet.
  4. Begræns adgang til programmet — hvis AutoBangumi ikke behøver at være tilgængeligt fra internettet, så luk for ekstern adgang via firewall eller VPN.
  5. Gennemgå logfiler — tjek om ukendte brugere allerede har logget ind med standardoplysningerne. Kontakt din IT-leverandør ved mistanke om indbrud.
Tidsfrist

Opdater straks — inden for 24-48 timer

Sådan ser Auroa det

AutoBangumi version 3.2.8 indeholder en rettelse, og du bør opdatere øjeblikkeligt. Standardoplysningerne er offentligt kendte, hvilket betyder at enhver — også automatiserede angrebsprogrammer — kan udnytte hullet uden teknisk viden. Ud over opdateringen anbefaler vi, at du undersøger om systemet allerede er blevet kompromitteret ved at gennemgå logfiler for ukendte logins. Overvej desuden at placere AutoBangumi bag en VPN eller firewall, så det ikke er direkte tilgængeligt fra internettet fremover.

Tidslinje

02/07/2026
CVE offentliggjort
CVE-2026-58466 blev officielt registreret i National Vulnerability Database (NVD) med en kritisk CVSS-score på 9.8. Sårbarheden vedrører hard-coded standardoplysninger i AutoBangumi.
02/07/2026
Standardoplysninger offentligt kendte
Da sårbarheden beskrives som offentligt kendte standardoplysninger ('publicly known default credentials'), er angrebsmetoden tilgængelig for alle fra offentliggørelsesdatoen.
02/07/2026
Patch tilgængelig i version 3.2.8
AutoBangumi version 3.2.8 udgives som rettelse på sårbarheden. Brugere opfordres til at opdatere øjeblikkeligt.

Konkrete eksempler

Automatiseret scanning og login

En angriber bruger et automatisk scanningsprogram til at finde alle internet-eksponerede AutoBangumi-installationer. For hver installation forsøger programmet at logge ind med de kendte standardoplysninger. Lykkes det, har angriberen fuld administratoradgang på få sekunder — helt uden menneskelig indgriben.

Opsætning af ondsindet downloader

En angriber logger ind med standardoplysningerne og ændrer downloaderkonfigurationen, så systemet automatisk henter og kører ondsindede filer. Disse filer kan bruges til at installere malware (ondsindet software) på den computer eller server, AutoBangumi kører på — og potentielt sprede sig videre i netværket.

Springbræt ind i virksomhedens netværk

Hvis AutoBangumi kører på en server i virksomhedens netværk, kan en angriber bruge den fulde administratoradgang til at kortlægge netværket og forsøge at tilgå andre systemer. AutoBangumi-serveren fungerer som et indgangspunkt — et såkaldt ‘springbræt’ — til mere følsomme systemer som fildelte, databaser eller e-mail.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
NONE
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

CWE-svaghedstyper

CWE-1392

Original NVD-beskrivelse (engelsk)

AutoBangumi before 3.2.8 contains a hard-coded default credentials vulnerability that allows unauthenticated attackers to authenticate as the administrator by using the publicly known default credentials seeded at startup via add_default_user() in the database user module when the users table is empty. Attackers can submit the default credentials to the authentication login endpoint to gain full control of the application, including RSS feed configuration, downloader configuration, and all authenticated API endpoints.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Kritisk
CVSS Base Score
9.8
Visning
Hurtige fakta
CVE-ID
CVE-2026-58466
Offentliggjort
02/07/2026
Sidst opdateret
02/07/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdater straks — inden for 24-48 timer

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.