Plateforme
nodejs
Composant
homarr
Corrigé dans
1.57.1
La vulnérabilité CVE-2026-32602 affecte le tableau de bord open-source Homarr. Elle se manifeste par une condition de concurrence dans le point de terminaison d'inscription des utilisateurs (/api/trpc/user.register). Cette faille permet à un attaquant de créer plusieurs comptes utilisateurs en utilisant un seul jeton d'invitation, contournant ainsi le mécanisme de sécurité prévu. Les versions concernées sont celles comprises entre 0.0.0 et 1.57.0 incluses. Une version corrigée, 1.57.0, est désormais disponible.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de créer plusieurs comptes utilisateurs non autorisés dans le système Homarr. Chaque compte créé peut potentiellement être utilisé pour accéder à des données sensibles, modifier des configurations ou lancer d'autres attaques. L'attaquant pourrait ainsi compromettre l'intégrité du tableau de bord et des données qu'il gère. Bien que l'impact direct sur la confidentialité soit limité, la création de comptes multiples peut faciliter des attaques par déni de service ou des tentatives de prise de contrôle du système. L'absence de transaction atomique entre les opérations de vérification, de création et de suppression du jeton d'invitation est la cause principale de cette vulnérabilité.
La vulnérabilité CVE-2026-32602 a été publiée le 6 avril 2026. Sa probabilité d'exploitation est considérée comme faible à moyenne, en l'absence de preuves d'exploitation active. Il n'existe pas de Proof of Concept (POC) public connu à ce jour. La vulnérabilité n'est pas répertoriée sur KEV ou EPSS. Consultez le site de la NVD (National Vulnerability Database) pour les informations les plus récentes.
Statut de l'Exploit
EPSS
0.03% (percentile 8%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour Homarr vers la version 1.57.0 ou ultérieure, qui corrige cette condition de concurrence. En attendant la mise à jour, il est possible de mettre en œuvre des mesures temporaires. Il est recommandé de désactiver temporairement l'inscription des utilisateurs via l'API si elle n'est pas essentielle. Si la désactivation n'est pas possible, implémentez une logique de verrouillage du jeton d'invitation après son utilisation, même si cela nécessite des modifications du code source. Surveillez attentivement les journaux d'activité pour détecter des inscriptions d'utilisateurs suspectes. Après la mise à jour, vérifiez que les jetons d'invitation ne sont utilisés qu'une seule fois pour chaque compte.
Actualice a la versión 1.57.0 o superior para mitigar la vulnerabilidad de condición de carrera en el registro de usuarios. Esta actualización corrige el problema al asegurar que las operaciones de base de datos CHECK, CREATE y DELETE se realicen de forma atómica, evitando que múltiples cuentas se registren con un solo token de invitación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
C'est une vulnérabilité de condition de concurrence dans Homarr, permettant la création de plusieurs comptes utilisateurs avec un seul jeton d'invitation.
Oui, si vous utilisez Homarr dans les versions 0.0.0 à 1.57.0 incluses. La mise à jour est nécessaire.
Mettez à jour Homarr vers la version 1.57.0 ou ultérieure. En attendant, désactivez temporairement l'inscription via l'API.
À ce jour, il n'y a pas de preuves d'exploitation active, mais la vulnérabilité reste présente si vous n'avez pas mis à jour.
Consultez la page de la NVD (National Vulnerability Database) pour plus d'informations et les mises à jour : [https://nvd.nist.gov/](https://nvd.nist.gov/)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.