unraid apps compromized?

[azereus]

hallo zusammen,

/edit Update: mein Ticket 30767 bei Unraid dazu offen
/edit2: es dürfte eine 0-day sein die es angreifern erlaubt ungeprüfte strings "die URLs" in der App-Liste hochzuladen bzw. auszuführen
Juni https://www.cve.org/CVERecord?id=CVE-2026-9773
Juni https://www.cve.org/CVERecord?id=CVE-2026-9772
März https://www.cve.org/CVERecord?id=CVE-2026-3839
März https://www.cve.org/CVERecord?id=CVE-2026-3838

/edit3: reddit ist auch mal informiert
https://www.reddit.com/r/unRAID/comments/1ufagd0/0day_being_used/

könnte mir bitte jemand bei seiner unraid instanz etwas nachsehen ob es auch so ist ...

1) Browser; F12 Entwicklertools
2) unraid apps seite aufrufen
3) 12 resultate/seite
4) network services
5) sortieren nach download
6) ergebnis seite 7
und dann in den F12 Netzwerktools darauf achten ob folgende Seiten/Urls versucht werden aufzurufen

https://dubaidunesafari[dot]com/contact
https://www[dot]logojeez[dot]com/portfolio/contact
https://www[dot]ubongogamelab[dot]com/blog/gpgcontact
https://vmc[dot]clinic/contacts/
https://www[dot]northernhotel[dot]co[dot]uk/
https://www[dot]goldencityawards[dot]com/duzenleyen
https://www[dot]amcfloors[dot]com/testimonials
https://landbroofingleeds[dot]co[dot]uk/
https://www[dot]jbuenactus[dot]org/
https://spangsorkester[dot]com/
https://eaglevalleylcms[dot]org/


mein AV sagt mir ich hätte versucht eine dieser Seiten aufzurufen
was ich aber nicht bewusst gemacht habe
weil es sich ja um einen 301 redirect im code von Unraid handelt
den dann mein browser umsetzt
deswegen schlägt der AV dann an. das ist mir klar.

Jetzt ist halt die Frage warum sind diese redirects im Code von Unraid?
Ist das eine kompromittierte App? Wenn ja welche dieser 12?
Können wir noch weitere Informationen herausfinden?


LG

 

[kartoffelpü]

Ich könnte heute abend erst nachschauen, falls es bis dahin noch nicht geklärt wurde.

 

[madmax2010]

Hab kein unraid aber im ticker kam heute Nacht ne 0day vorbei
https://www.cve.org/CVERecord?id=CVE-2026-9772

Ergänzung (Gestern um 15:27)

Noch eine
https://www.cve.org/CVERecord?id=CVE-2026-9773
Und noch 2 in der 7-9 range vor ein paar Wochen
Das könnte alles durch drittanbieter Apps exploitbar sein

 

[azereus]

danke @madmax2010 das sieht sehr stark genau danach aus.
fileupload.php wird ausgenutzt um nicht geprüfte strings - die URLs - auszuliefern

/edit Update: mein Ticket 30767 bei Unraid dazu offen
/update: oben auch
/update: reddit ist auch mal informiert. link oben.

Ergänzung (Gestern um 16:12)

/Update: Ticket wurde bearbeitet und intern weitergeleitet

 

[madmax2010]

Fuck. Tut mir leid

Hoffe du hast ein sauberes Daten Backup?

 

[azereus]

backup? ach was
Unraid macht nix großartiges. nur DNS und Homeassistant und nur um dessen Daten wäre es schade.

 

[madmax2010]

Ja true
Habe config backup und database dump von home assistant in restic. Der Rest ist volatil

Dachte schon dein NAS ist jetzt tot. Wäre doch schade um alles aus Vuze und azureus

 

[azereus]

hab die domains die ich herausgefunden habe erstmal im DNS gesperrt
mal schaun ob ich noch etwas finde

/edit:
reddit-filter hat meinen post offline genommen

hab mal die mod-gruppe angeschrieben ob sie den post freigeben können

 

[azereus]

/update: reddit wurde nun freigegeben und ist online

 

[azereus]

objektiv betrachtet sieht es mir nach keiner 0-day mehr aus.

ich habe mir alle 36 seiten zu je 96 apps durchgesehen mit F12.
nur 1x wurden diese 301 redirects aufgerufen

die betroffene app im unraid-app-store ist

postgresql
sameersbn
Bungy's Repository

und führ zu diesem container https://hub.docker.com/r/sameersbn/postgresql

am plausibelsten ist im moment ein problem aus der vergangenheit.
dennoch sollten diese 301 redirects auf die oben genannten seiten nicht passieren.
das gehört gelöst/korrigiert.

warten wir mal auf die offizielle einschätzung im ticket ab.

 

[azereus]

/update:

Thank you for reaching out and for bringing all of this up. I do apologize for the delay in my response here. I've had this reported with our dev team and they immediately jumped to investigate.

Regarding the CVEs you linked, it looks like these were submitted to the CVE org but not fully filled out, as these were already patched; You can find this by clicking on the link within the CVE report to the zero day initiative site. Here is the short list:
CVE-2026-9772, Fixed in version 7.3.0 stable (https://docs.unraid.net/unraid-os/release-notes/7.3.0/)
CVE-2026-9773, Was also fixed in 7.3.0 stable
CVE-2026-3839, Fixed in version 7.2.4.
CVE-2026-3838,Fixed in version 7.2.4.

While these CVEs were unrelated to the issue you say, we do appreciate you pointing this out, and we will be contacting the submitter/CVE org to get those posts updated to reflect the fixed release version. As you are on 7.3.1, these have all been pulled into that release.

Regarding the icon redirect, as you've seen this appears to be due to a very out of date App, whos Icon querry is being re-directed. The CA team is removing that Asap and will be reviewing all apps themselves as well.

Our dev team is also working on a response to the reddit post about this as well.

Thank you again for reaching out and I'll respond here again as soon as the dev team has updated me.

Following up here, the team has responded to the reddit post, and I wanted to let you know we've moved the redirect link issue into our bug tracker here: https://product.unraid.net/p/community-apps-external-icon-url-points-to-expired-spam-domain

Also kein 0-day aber zumindest eine outdated App mit einem redirect query.

 

[kartoffelpü]

Danke. Ich hatte gestern Abend doch nicht mehr dran gedacht, nachzuschauen...