Homarr présente une condition de concurrence dans l'enregistrement des jetons d'invitation (TOCTOU)

Homarr est un tableau de bord open-source. Avant la version 1.57.0, le point de terminaison d'enregistrement utilisateur (/api/trpc/user.register) est vulnérable à une condition de concurrence qui permet à un attaquant de créer plusieurs comptes utilisateur à partir d'un jeton d'invitation à usage unique. Le flux d'enregistrement effectue trois opérations de base de données séquentielles sans transaction : VÉRIFICATION, CRÉATION et SUPPRESSION. Étant donné que ces opérations ne sont pas atomiques, les requêtes concurrentes peuvent toutes passer l'étape de validation (1) avant que l'une d'entre elles n'atteigne l'étape de suppression (3). Cela permet d'enregistrer plusieurs comptes en utilisant un seul jeton d'invitation qui était censé être à usage unique. Cette vulnérabilité est corrigée dans la version 1.57.0.