Plattform
nodejs
Komponente
homebox
Behoben in
0.25.1
CVE-2026-40196 is a high-severity vulnerability affecting HomeBox versions prior to 0.25.0. This flaw allows an attacker to bypass access controls via the API, potentially leading to unauthorized modification or deletion of home inventory data. The vulnerability stems from a persistent defaultGroup ID that isn't properly validated when the X-Tenant header is omitted. Users are advised to upgrade to version 0.25.0 to address this issue.
CVE-2026-40196 betrifft HomeBox, ein System zur Inventarisierung und Organisation des Haushalts, in Versionen vor 0.25.0. Die Schwachstelle liegt darin, dass die Standardgruppen-ID eines Benutzers dauerhaft zugewiesen bleibt, selbst nachdem sein Zugriff auf diese Gruppe widerrufen wurde. Während die Weboberfläche die Zugriffswiderrufung korrekt durchsetzt und verhindert, dass der Benutzer den Inhalt der Gruppe sieht oder ändert, tut dies die API nicht. Dies ermöglicht einem Angreifer mit API-Zugriff, diese persistente Gruppen-ID potenziell auszunutzen, um unautorisierte Aktionen durchzuführen oder sensible Informationen zu erhalten, auf die der Benutzer keinen Zugriff haben sollte, obwohl die Weboberfläche dies verhindert. Der Umfang wird vergrößert, wenn die Standardgruppe erhöhte Berechtigungen oder Zugriff auf kritische Daten hat.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf die HomeBox-API. Ein Angreifer könnte Anfragen an die API senden, um auf Ressourcen zuzugreifen oder Aktionen im Namen des Benutzers auszuführen, selbst nachdem der Zugriff des Benutzers auf die Gruppe über die Weboberfläche widerrufen wurde. Das Fehlen einer ordnungsgemäßen Validierung in der API ermöglicht es, dass die persistente Standardgruppen-ID verwendet wird, um Zugriffsbeschränkungen zu umgehen. Der Erfolg der Ausnutzung hängt von der API-Konfiguration und dem Vorhandensein von Gruppen mit sensiblen Berechtigungen ab. Die Komplexität der Ausnutzung ist moderat und erfordert technisches Wissen über die HomeBox-API und die Fähigkeit, HTTP-Anfragen zu senden.
HomeBox users who have not upgraded to version 0.25.0 are at risk. This includes individuals and families relying on HomeBox for home inventory management. Specifically, deployments with custom API integrations or those lacking robust API security measures are particularly vulnerable.
• nodejs / server:
journalctl -u homebox | grep -i "defaultGroup"• nodejs / server:
ps aux | grep homebox | grep -i "X-Tenant"• generic web:
curl -I 'http://<homebox_ip>/api/groups/<group_id>' -H 'X-Tenant: ' # Check for 403 Forbidden without X-Tenantdisclosure
Exploit-Status
EPSS
0.03% (9% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-40196 ist die Aktualisierung von HomeBox auf Version 0.25.0 oder höher. Dieses Update behebt die Schwachstelle, indem sichergestellt wird, dass die Standardgruppen-ID eines Benutzers korrekt entfernt wird, wenn sein Zugriff auf die Gruppe widerrufen wird. Es wird dringend empfohlen, dass alle HomeBox-Benutzer ihre Installation so schnell wie möglich aktualisieren, um das Risiko einer Ausnutzung zu mindern. Darüber hinaus wird empfohlen, die Gruppenberechtigungen und Benutzereinstellungen zu überprüfen, um sicherzustellen, dass das Prinzip der geringsten Privilegien angewendet wird. Die Überwachung der API-Protokolle auf ungewöhnliche Aktivitäten kann ebenfalls dazu beitragen, potenzielle Angriffe zu erkennen und zu verhindern.
Actualice a la versión 0.25.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación del encabezado X-Tenant en la API, evitando que los usuarios accedan a los grupos a los que ya no tienen acceso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
HomeBox ist ein System zur Inventarisierung und Organisation des Haushalts, mit dem Benutzer ihre Besitztümer verwalten und Informationen mit anderen Haushaltsmitgliedern teilen können.
Sie können HomeBox aktualisieren, indem Sie die neueste Version (0.25.0 oder höher) von der offiziellen HomeBox-Website oder über das Paketverwaltungssystem Ihres Betriebssystems herunterladen.
CVE-2026-40196 ist ein eindeutiger Identifikator für diese Sicherheitslücke. Es ist eine Standardreferenz zur Verfolgung und Kommunikation von Sicherheitsproblemen.
Wenn Sie eine Version von HomeBox vor 0.25.0 verwenden, sind Sie anfällig für diese Schwachstelle. Die Aktualisierung auf die neueste Version ist der beste Weg, um das Risiko zu überprüfen und zu mindern.
Wenn Sie vermuten, dass Ihr System kompromittiert wurde, ändern Sie sofort die Passwörter aller Konten, die mit HomeBox verknüpft sind, und führen Sie eine umfassende Sicherheitsprüfung durch.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.