Plateforme
nodejs
Composant
homebox
Corrigé dans
0.25.1
CVE-2026-40196 is a high-severity vulnerability affecting HomeBox versions prior to 0.25.0. This flaw allows an attacker to bypass access controls via the API, potentially leading to unauthorized modification or deletion of home inventory data. The vulnerability stems from a persistent defaultGroup ID that isn't properly validated when the X-Tenant header is omitted. Users are advised to upgrade to version 0.25.0 to address this issue.
CVE-2026-40196 affecte HomeBox, un système d'inventaire et d'organisation du foyer, dans les versions antérieures à 0.25.0. La vulnérabilité réside dans le fait que l'ID du groupe par défaut d'un utilisateur reste attribué de manière permanente, même après que son accès à ce groupe a été révoqué. Bien que l'interface web applique correctement la révocation d'accès, empêchant l'utilisateur de voir ou de modifier le contenu du groupe, l'API ne le fait pas. Cela permet à un attaquant, disposant d'un accès à l'API, d'exploiter potentiellement cette persistance de l'ID du groupe pour effectuer des actions non autorisées ou accéder à des informations sensibles qui devraient être restreintes à l'utilisateur, même si l'interface web l'empêche. L'impact est amplifié si le groupe par défaut possède des privilèges élevés ou un accès à des données critiques.
L'exploitation de cette vulnérabilité nécessite un accès à l'API HomeBox. Un attaquant peut envoyer des requêtes à l'API pour accéder à des ressources ou effectuer des actions au nom de l'utilisateur, même après que l'accès de l'utilisateur au groupe a été révoqué via l'interface web. L'absence de validation appropriée dans l'API permet à l'ID du groupe par défaut persistant d'être utilisé pour contourner les restrictions d'accès. Le succès de l'exploitation dépend de la configuration de l'API et de l'existence de groupes disposant de permissions sensibles. La complexité de l'exploitation est modérée, nécessitant des connaissances techniques de l'API HomeBox et la capacité d'envoyer des requêtes HTTP.
HomeBox users who have not upgraded to version 0.25.0 are at risk. This includes individuals and families relying on HomeBox for home inventory management. Specifically, deployments with custom API integrations or those lacking robust API security measures are particularly vulnerable.
• nodejs / server:
journalctl -u homebox | grep -i "defaultGroup"• nodejs / server:
ps aux | grep homebox | grep -i "X-Tenant"• generic web:
curl -I 'http://<homebox_ip>/api/groups/<group_id>' -H 'X-Tenant: ' # Check for 403 Forbidden without X-Tenantdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
Vecteur CVSS
La solution à CVE-2026-40196 consiste à mettre à jour HomeBox vers la version 0.25.0 ou ultérieure. Cette mise à jour corrige la vulnérabilité en garantissant que l'ID du groupe par défaut d'un utilisateur est correctement supprimé lorsque son accès au groupe est révoqué. Il est fortement recommandé à tous les utilisateurs de HomeBox de mettre à jour leur installation dès que possible afin d'atténuer le risque d'exploitation. De plus, il est recommandé de revoir les permissions des groupes et les paramètres des comptes utilisateurs afin de garantir que les principes du moindre privilège sont appliqués. Surveiller les journaux de l'API à la recherche d'activités inhabituelles peut également aider à détecter et à prévenir les attaques potentielles.
Actualice a la versión 0.25.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación del encabezado X-Tenant en la API, evitando que los usuarios accedan a los grupos a los que ya no tienen acceso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
HomeBox est un système d'inventaire et d'organisation du foyer qui permet aux utilisateurs de gérer leurs biens et de partager des informations avec les autres membres du foyer.
Vous pouvez mettre à jour HomeBox en téléchargeant la dernière version (0.25.0 ou ultérieure) depuis le site web officiel de HomeBox ou via le système de gestion de paquets de votre système d'exploitation.
CVE-2026-40196 est un identifiant unique pour cette vulnérabilité de sécurité. C'est une référence standard pour suivre et communiquer les problèmes de sécurité.
Si vous utilisez une version de HomeBox antérieure à 0.25.0, vous êtes vulnérable à cette vulnérabilité. Mettre à jour vers la dernière version est le meilleur moyen de vérifier et d'atténuer le risque.
Si vous suspectez que votre système a été compromis, modifiez immédiatement les mots de passe de tous les comptes associés à HomeBox et effectuez un audit de sécurité complet.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.