CVE-2026-30924

qui is a web interface for managing qBittorrent instances. Versions 1.14.1 and below use a permissive CORS policy that reflects arbitrary origins while also returning Access-Control-Allow-Credentials: true, effectively allowing any external webpage to make authenticated requests on behalf of a logged-in user. An attacker can exploit this by tricking a victim into loading a malicious webpage, which silently interacts with the application using the victim's session and potentially exfiltrating sensitive data such as API keys and account credentials, or even achieving full system compromise through the built-in External Programs manager. Exploitation requires that the victim access the application via a non-localhost hostname and load an attacker-controlled webpage, making highly targeted social-engineering attacks the most likely real-world scenario. This issue was not fixed at the time of publication.

CVSS v3 8.8 HIGH

8.8^/10

CVSS v3 : HIGH

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction REQUIRED

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References

Link	Resource
https://github.com/autobrr/qui/commit/424f7a0de089dce881e8bbecd220163a78e0295f	Patch
https://github.com/autobrr/qui/security/advisories/GHSA-h8vw-ph9r-xpch	Vendor Advisory

Configurations

Configuration 1 (hide)

cpe:2.3:a:getqui:qui:*:*:*:*:*:docker:*:*

History

14 Apr 2026, 17:48

Type	Values Removed	Values Added
Summary		(es) qui es una interfaz web para gestionar instancias de qBittorrent. Las versiones 1.14.1 e inferiores utilizan una política CORS permisiva que refleja orígenes arbitrarios y también devuelve Access-Control-Allow-Credentials: true, permitiendo efectivamente que cualquier página web externa realice solicitudes autenticadas en nombre de un usuario con sesión iniciada. Un atacante puede explotar esto engañando a una víctima para que cargue una página web maliciosa, la cual interactúa silenciosamente con la aplicación utilizando la sesión de la víctima y potencialmente exfiltrando datos sensibles como claves API y credenciales de cuenta, o incluso logrando un compromiso total del sistema a través del gestor de Programas Externos incorporado. La explotación requiere que la víctima acceda a la aplicación a través de un nombre de host que no sea localhost y cargue una página web controlada por el atacante, lo que convierte los ataques de ingeniería social altamente dirigidos en el escenario más probable en el mundo real. Este problema no fue solucionado en el momento de la publicación.
First Time		Getqui Getqui qui
References	~~() https://github.com/autobrr/qui/commit/424f7a0de089dce881e8bbecd220163a78e0295f -~~	() https://github.com/autobrr/qui/commit/424f7a0de089dce881e8bbecd220163a78e0295f - Patch
References	~~() https://github.com/autobrr/qui/security/advisories/GHSA-h8vw-ph9r-xpch -~~	() https://github.com/autobrr/qui/security/advisories/GHSA-h8vw-ph9r-xpch - Vendor Advisory
CVSS	v2 : ~~unknown~~ v3 : ~~unknown~~	v2 : unknown v3 : 8.8
CPE		cpe:2.3:a:getqui:qui::::::docker::*
CWE		NVD-CWE-Other

19 Mar 2026, 21:17

Type	Values Removed	Values Added
New CVE

Information

Published : 2026-03-19 21:17

Updated : 2026-04-14 17:48

NVD link : CVE-2026-30924

Mitre link : CVE-2026-30924

CVE.ORG link : CVE-2026-30924

JSON object : View

Products Affected

getqui

CWE

CWE-942

Permissive Cross-domain Policy with Untrusted Domains

NVD-CWE-Other

8.8 /10