Plattform
nodejs
Komponente
beszel
Behoben in
0.18.8
CVE-2026-40077 describes an authorization bypass vulnerability in Beszel, a server monitoring platform. This flaw allows authenticated users to access API endpoints for any system within the Beszel hub, provided they possess the system's ID. The vulnerability affects versions 0.0.0 through 0.18.6 and has been resolved in version 0.18.7.
CVE-2026-40077 betrifft Beszel, eine Serverüberwachungsplattform. Vor Version 0.18.7 akzeptierten bestimmte API-Endpunkte eine vom Benutzer bereitgestellte System-ID, ohne zusätzliche Prüfungen durchzuführen, um zu überprüfen, ob der Benutzer Zugriff auf dieses System hat. Dies ermöglicht es jedem authentifizierten Benutzer, auf diese Routen für jedes System zuzugreifen, wenn er die System-ID kennt. Obwohl System-IDs zufällige alphanumerische Zeichenketten mit 15 Zeichen sind und nicht allen Benutzern angezeigt werden, besteht theoretisch die Möglichkeit, dass ein authentifizierter Benutzer eine gültige System-ID aufzählen kann. Der primäre Einfluss ist die potenzielle Offenlegung von Überwachungsdaten für Systeme an unbefugte Benutzer, was die Vertraulichkeit und Integrität von Serverinformationen gefährden könnte.
Die Ausnutzung dieser Schwachstelle erfordert, dass ein Benutzer in Beszel authentifiziert ist. Der Angreifer muss die System-ID kennen, auf die er zugreifen möchte, die zwar zufällig ist, aber durch Social Engineering oder andere Schwachstellen erraten oder entdeckt werden könnte. Da System-IDs nicht leicht vorhersehbar sind, ist eine direkte Ausnutzung unwahrscheinlich, aber die Möglichkeit der ID-Aufzählung erhöht das Risiko. Die Authentifizierung ist zwar erforderlich, reicht aber nicht aus, um unbefugten Zugriff auf Systemdaten zu verhindern. Das Fehlen einer ordnungsgemäßen System-ID-Validierung in den API-Endpunkten ist die Ursache der Schwachstelle.
Organizations utilizing Beszel for server monitoring, particularly those with multiple systems and a large number of authenticated users, are at risk. Environments with weak access controls or where system IDs are not adequately protected are especially vulnerable.
• nodejs / server:
grep -r 'req.body.system_id' /opt/beszel/app/routes/*.js• nodejs / server:
journalctl -u beszel -f | grep "Accessing system with ID"• generic web: Review Beszel API access logs for unusual requests targeting specific system IDs.
disclosure
Exploit-Status
EPSS
0.05% (17% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-40077 ist das Upgrade von Beszel auf Version 0.18.7 oder höher. Diese Version implementiert ordnungsgemäße Zugriffskontrollen für die API-Endpunkte und überprüft, ob der authentifizierte Benutzer die erforderlichen Berechtigungen zum Zugriff auf die Daten des jeweiligen Systems hat. In der Zwischenzeit wird als Vorsichtsmaßnahme empfohlen, Benutzerberechtigungen innerhalb von Beszel zu überprüfen und einzuschränken, um sicherzustellen, dass sie nur Zugriff auf die Systeme haben, die sie überwachen müssen. Es wird auch empfohlen, API-Zugriffsprotokolle auf verdächtige Aktivitäten zu überwachen.
Actualice Beszel a la versión 0.18.7 o superior para mitigar la vulnerabilidad de IDOR. Esta actualización implementa verificaciones de acceso adecuadas para proteger los endpoints de la API del hub contra el acceso no autorizado.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Beszel ist eine Serverüberwachungsplattform, die es Administratoren ermöglicht, den Status und die Leistung ihrer Server zu überwachen.
Wenn Sie eine Version von Beszel vor 0.18.7 verwenden, könnte ein authentifizierter Benutzer potenziell auf Überwachungsdaten für Systeme zugreifen, auf die er keinen Zugriff haben sollte.
Aktualisieren Sie Beszel so schnell wie möglich auf Version 0.18.7 oder höher.
Überprüfen und beschränken Sie Benutzerberechtigungen innerhalb von Beszel und überwachen Sie API-Zugriffsprotokolle.
Obwohl System-IDs zufällig sind, besteht theoretisch die Möglichkeit der Aufzählung, daher ist Vorsicht geboten.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.