प्लेटफ़ॉर्म
nodejs
घटक
homarr
में ठीक किया गया
1.57.1
CVE-2026-32602 describes a Race Condition vulnerability found in Homarr, an open-source dashboard. This flaw affects versions 0.0.0 through 1.56.9, allowing attackers to create multiple user accounts using a single-use invite token due to a lack of transactional integrity in the registration process. The vulnerability stems from sequential database operations that are not atomic, allowing concurrent requests to bypass validation. A patch is available in version 1.57.0.
CVE-2026-32602 ओपन-सोर्स सर्वर डैशबोर्ड होमआर को प्रभावित करता है, विशेष रूप से इसका उपयोगकर्ता पंजीकरण एंडपॉइंट (/api/trpc/user.register)। यह भेद्यता संस्करण 1.57.0 से पहले पंजीकरण प्रवाह में मौजूद रेस कंडीशन के कारण है। पंजीकरण प्रक्रिया में तीन अनुक्रमिक डेटाबेस ऑपरेशन (चेक, क्रिएट और डिलीट) शामिल हैं, जो लेनदेन द्वारा संरक्षित नहीं हैं। यह कई समवर्ती अनुरोधों को निमंत्रण टोकन को हटाने से पहले सत्यापन चरण से गुजरने की अनुमति देता है, जिससे एक ही निमंत्रण टोकन का उपयोग करके कई उपयोगकर्ता खाते बनाए जा सकते हैं। इस भेद्यता की गंभीरता होमआर के उपयोग संदर्भ और प्रबंधित उपयोगकर्ता डेटा की संवेदनशीलता पर निर्भर करती है। एक हमलावर इस भेद्यता का दुरुपयोग स्पैम, सेवा से इनकार हमलों या बनाए गए खातों को उन्नत विशेषाधिकार प्राप्त होने पर गोपनीय जानकारी तक पहुंचने जैसे दुर्भावनापूर्ण उद्देश्यों के लिए नकली खाते बनाने के लिए कर सकता है।
CVE-2026-32602 का शोषण करने के लिए होमआर के उपयोगकर्ता पंजीकरण एंडपॉइंट तक पहुंच की आवश्यकता होती है। एक हमलावर एक ही निमंत्रण टोकन का उपयोग करके पंजीकरण अनुरोध भेजने की प्रक्रिया को स्वचालित कर सकता है। जब कई अनुरोध लगभग एक साथ सर्वर पर पहुंचते हैं, तो रेस कंडीशन होती है। सर्वर टोकन को मान्य करता है, खाता बनाता है, और टोकन को हटाने से पहले, एक अन्य अनुरोध उसी टोकन को मान्य करता है और एक और खाता बनाता है। शोषण की कठिनाई सर्वर लोड और नेटवर्क विलंबता पर निर्भर करती है। एक भारी लोड वाला सर्वर और धीमी नेटवर्क रेस कंडीशन होने की संभावना को बढ़ाता है। सफल शोषण के लिए होमआर आर्किटेक्चर की बुनियादी समझ और समवर्ती HTTP अनुरोध भेजने की क्षमता की आवश्यकता होती है।
एक्सप्लॉइट स्थिति
EPSS
0.03% (8% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-32602 का समाधान होमआर को संस्करण 1.57.0 या उच्चतर में अपडेट करना है। यह संस्करण सत्यापन, निर्माण और हटाने के कार्यों को एक अविभाज्य इकाई के रूप में निष्पादित करने के लिए एक परमाणु लेनदेन को लागू करके रेस कंडीशन को ठीक करता है। यह समवर्ती अनुरोधों को निमंत्रण टोकन सत्यापन को बायपास करने से रोकता है। अपडेट के अलावा, होमआर की सुरक्षा नीतियों की समीक्षा करने की सिफारिश की जाती है, जिसमें उपयोगकर्ता प्रबंधन और इनपुट सत्यापन शामिल हैं। जोखिम को कम करने के लिए सुरक्षा पैच को तुरंत लागू करना महत्वपूर्ण है। यदि तत्काल अपडेट संभव नहीं है, तो अस्थायी उपाय किए जा सकते हैं, जैसे पंजीकरण अनुरोधों की आवृत्ति को सीमित करना या संदिग्ध गतिविधि का पता लगाने के लिए एक अतिरिक्त सत्यापन प्रणाली को लागू करना।
Actualice a la versión 1.57.0 o superior para mitigar la vulnerabilidad de condición de carrera en el registro de usuarios. Esta actualización corrige el problema al asegurar que las operaciones de base de datos CHECK, CREATE y DELETE se realicen de forma atómica, evitando que múltiples cuentas se registren con un solo token de invitación.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
रेस कंडीशन तब होती है जब किसी प्रोग्राम का आउटपुट कई थ्रेड या प्रक्रियाओं के निष्पादन के क्रम पर निर्भर करता है।
'परमाणु लेनदेन' एक ऑपरेशन का क्रम है जो एक अविभाज्य इकाई के रूप में निष्पादित होता है। यदि कोई ऑपरेशन विफल हो जाता है, तो पूरा लेनदेन वापस रोल हो जाता है।
पंजीकरण अनुरोधों की आवृत्ति को सीमित करने या अतिरिक्त सत्यापन जोड़ने जैसे अस्थायी उपाय लागू करें।
एक ही निमंत्रण टोकन के साथ बनाए गए अनधिकृत खातों के लिए अपने उपयोगकर्ता खातों की जांच करें।
संस्करण 1.57.0 में अपडेट करने से यह विशिष्ट भेद्यता कम हो जाती है। हालाँकि, अन्य संभावित भेद्यताओं से खुद को बचाने के लिए होमआर को नवीनतम सुरक्षा पैच के साथ अपडेट रखना महत्वपूर्ण है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।