Plateforme
python
Composant
ajenti
Corrigé dans
0.112.1
0.112
La vulnérabilité CVE-2026-40178 est une condition de course présente dans Ajenti, affectant les versions de 0.0.0 à 0.111. Cette faille permet à un attaquant de contourner l'authentification, même lorsque l'authentification à deux facteurs (2FA) est activée, durant une courte période après l'authentification initiale. La mise à jour vers la version 0.112 corrige cette vulnérabilité et est fortement recommandée.
L'impact principal de cette vulnérabilité réside dans la possibilité de contourner l'authentification. Un attaquant, en exploitant cette condition de course, peut accéder au système Ajenti sans les identifiants corrects, même si le 2FA est activé. Cela peut conduire à une compromission complète du système, permettant l'accès non autorisé aux données sensibles, la modification de la configuration et l'exécution de commandes arbitraires. La gravité de l'impact est amplifiée si Ajenti est utilisé pour gérer des infrastructures critiques ou des données sensibles.
La vulnérabilité CVE-2026-40178 a été divulguée le 2026-04-10. Il n'y a pas d'indication d'exploitation active à ce jour, ni de preuve de sa présence dans le KEV de CISA. Des preuves de concept (PoC) publiques ne sont pas encore disponibles, mais la nature de la vulnérabilité (condition de course) rend son exploitation potentiellement réalisable.
Systems administrators and DevOps engineers utilizing Ajenti Web Panel for server management are at risk. This is particularly relevant for those relying on 2FA for enhanced security, as the vulnerability undermines this protection. Users with older Ajenti installations (versions 0.0.0 - 0.111) are especially vulnerable.
• python / server:
journalctl -u ajenti | grep -i "authentication bypass"• python / server:
ps aux | grep -i "ajenti"• generic web: curl -I http://yourajentiserver/login.html | grep 'Server: Ajenti'
disclosure
Statut de l'Exploit
EPSS
0.09% (percentile 25%)
CISA SSVC
La mitigation principale consiste à mettre à jour Ajenti vers la version 0.112, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il n'existe pas de correctifs temporaires ou de configurations spécifiques pour atténuer le risque. Il est crucial de planifier et d'effectuer la mise à jour dès que possible. Après la mise à jour, vérifiez l'intégrité des fichiers Ajenti pour vous assurer qu'ils n'ont pas été altérés.
Mettez à jour le plugin Ajenti Core à la version 0.112 ou supérieure pour atténuer la vulnérabilité de condition de course dans l'authentification à deux facteurs (2FA). Cette mise à jour corrige le problème qui permettait de contourner l'authentification pendant une brève période après l'authentification de l'utilisateur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40178 est une condition de course dans Ajenti, permettant de contourner l'authentification même avec 2FA activé. Affecte les versions 0.0.0 à 0.111.
Vous êtes affecté si vous utilisez Ajenti versions 0.0.0 à 0.111. Vérifiez votre version et mettez à jour si nécessaire.
Mettez à jour Ajenti vers la version 0.112 pour corriger cette vulnérabilité. C'est la seule solution.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-40178.
Consultez le site web d'Ajenti ou leurs canaux de communication pour l'avis officiel concernant CVE-2026-40178.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.