Homarrにおいて招待トークン登録にRace Conditionが存在する (TOCTOU)

CVE-2026-32602 は、オープンソースのサーバーダッシュボードである Homarr に影響を与え、特にそのユーザー登録エンドポイント (/api/trpc/user.register) に関連します。この脆弱性は、バージョン 1.57.0 より前の登録フローに存在するレースコンディションに起因します。登録プロセスには、(CHECK、CREATE、DELETE) の 3 つのシーケンシャルなデータベース操作が含まれており、これらはトランザクションによって保護されていません。これにより、招待トークンの削除が完了する前に、複数の同時リクエストが検証フェーズを通過できるようになり、単一の招待トークンを使用して複数のユーザーアカウントを作成できるようになります。この脆弱性の深刻度は、Homarr の使用状況のコンテキストと管理されているユーザーデータの機密性に依存します。攻撃者はこの脆弱性を悪用して、スパム、サービス拒否攻撃、または作成されたアカウントが昇格された権限を取得した場合の機密情報のアクセスなど、悪意のある目的で偽の帐户を作成する可能性があります。

1. 予約済み2026-03-12
2. 公開日2026-04-06
3. EPSS 更新日2026-04-14

CVE-2026-32602 の解決策は、Homarr をバージョン 1.57.0 以降にアップデートすることです。このバージョンは、検証、作成、削除操作が不可分な単位として実行されるように原子トランザクションを実装することで、レースコンディションを修正します。これにより、同時リクエストが招待トークンの検証を回避することが防止されます。アップデートに加えて、Homarr のセキュリティポリシー（ユーザー管理と入力検証を含む）を確認することをお勧めします。リスクを軽減するために、セキュリティパッチを迅速に適用することが重要です。即時のアップデートが不可能な場合は、登録リクエストの頻度を制限したり、疑わしい活動を検出するための追加の検証システムを実装したりするなど、一時的な対策を講じることができます。