प्लेटफ़ॉर्म
nodejs
घटक
beszel
में ठीक किया गया
0.18.8
Beszel में कुछ API endpoints उपयोगकर्ता-आपूर्ति किए गए सिस्टम ID को स्वीकार करते हैं और आगे की जाँच किए बिना आगे बढ़ते हैं कि उपयोगकर्ता को उस सिस्टम तक पहुँचने का अधिकार है या नहीं। यह भेद्यता अनधिकृत डेटा एक्सेस की अनुमति दे सकती है। यह Beszel के संस्करण 0.0.0 से < 0.18.7 तक को प्रभावित करता है।
CVE-2026-40077 Beszel को प्रभावित करता है, जो एक सर्वर मॉनिटरिंग प्लेटफॉर्म है। 0.18.7 से पहले के संस्करणों में, Beszel हब में कुछ API एंडपॉइंट्स उपयोगकर्ता द्वारा प्रदान किए गए सिस्टम ID को स्वीकार करते हैं, बिना यह जांचे कि उपयोगकर्ता के पास उस सिस्टम तक पहुंचने का अधिकार है या नहीं। यह किसी भी प्रमाणित उपयोगकर्ता को सिस्टम ID जानने पर किसी भी सिस्टम के लिए इन मार्गों तक पहुंचने की अनुमति देता है। सिस्टम ID 15-वर्णों की यादृच्छिक अल्फ़ान्यूमेरिक स्ट्रिंग हैं और सभी उपयोगकर्ताओं को प्रदर्शित नहीं की जाती हैं, लेकिन प्रमाणित उपयोगकर्ता एक वैध सिस्टम ID को सूचीबद्ध करने की सैद्धांतिक संभावना है। मुख्य प्रभाव अनधिकृत उपयोगकर्ताओं को सिस्टम के मॉनिटरिंग डेटा तक पहुंचने की संभावना है, जिससे सर्वर जानकारी की गोपनीयता और अखंडता से समझौता हो सकता है।
इस भेद्यता का शोषण करने के लिए, उपयोगकर्ता को Beszel के भीतर प्रमाणित होना आवश्यक है। हमलावर को उस सिस्टम ID को जानना होगा जिसे वे एक्सेस करना चाहते हैं, जो यादृच्छिक होने के बावजूद, सोशल इंजीनियरिंग या अन्य कमजोरियों के माध्यम से अनुमान या खोजा जा सकता है। चूंकि सिस्टम ID का अनुमान लगाना आसान नहीं है, इसलिए प्रत्यक्ष शोषण की संभावना नहीं है, लेकिन ID सूचीकरण की संभावना जोखिम को बढ़ाती है। प्रमाणीकरण, हालांकि आवश्यक है, सिस्टम डेटा तक अनधिकृत पहुंच को रोकने के लिए पर्याप्त नहीं है। API एंडपॉइंट में सिस्टम ID के उचित सत्यापन की कमी इस भेद्यता का मूल कारण है।
Organizations utilizing Beszel for server monitoring, particularly those with multiple systems and a large number of authenticated users, are at risk. Environments with weak access controls or where system IDs are not adequately protected are especially vulnerable.
• nodejs / server:
grep -r 'req.body.system_id' /opt/beszel/app/routes/*.js• nodejs / server:
journalctl -u beszel -f | grep "Accessing system with ID"• generic web: Review Beszel API access logs for unusual requests targeting specific system IDs.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.05% (17% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2026-40077 के लिए समाधान Beszel को संस्करण 0.18.7 या बाद के संस्करण में अपग्रेड करना है। यह संस्करण API एंडपॉइंट्स के लिए उचित एक्सेस नियंत्रण लागू करता है, यह सत्यापित करता है कि प्रमाणित उपयोगकर्ता के पास विशिष्ट सिस्टम के डेटा तक पहुंचने के लिए आवश्यक अनुमतियां हैं। इस बीच, निवारक उपाय के रूप में, Beszel के भीतर उपयोगकर्ता अनुमतियों की समीक्षा और सीमित करने की सिफारिश की जाती है, यह सुनिश्चित करते हुए कि उनके पास केवल उन सिस्टम तक पहुंच है जिन्हें उन्हें मॉनिटर करने की आवश्यकता है। API एक्सेस लॉग का ऑडिट करना भी उचित है ताकि किसी भी संदिग्ध गतिविधि का पता चल सके।
Actualice Beszel a la versión 0.18.7 o superior para mitigar la vulnerabilidad de IDOR. Esta actualización implementa verificaciones de acceso adecuadas para proteger los endpoints de la API del hub contra el acceso no autorizado.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
Beszel एक सर्वर मॉनिटरिंग प्लेटफॉर्म है जो व्यवस्थापकों को अपने सर्वरों की स्थिति और प्रदर्शन की निगरानी करने की अनुमति देता है।
यदि आप Beszel के 0.18.7 से पहले के संस्करण का उपयोग कर रहे हैं, तो एक प्रमाणित उपयोगकर्ता संभावित रूप से उन सिस्टम के मॉनिटरिंग डेटा तक पहुंच सकता है जिन तक उन्हें पहुंच नहीं होनी चाहिए।
जितनी जल्दी हो सके Beszel को संस्करण 0.18.7 या बाद के संस्करण में अपग्रेड करें।
Beszel के भीतर उपयोगकर्ता अनुमतियों की समीक्षा और सीमित करें और API एक्सेस लॉग का ऑडिट करें।
हालांकि सिस्टम ID यादृच्छिक हैं, लेकिन सैद्धांतिक रूप से सूचीकरण की संभावना है, इसलिए सावधानी बरतें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।