Beszel のハブ API エンドポイントにおける IDOR

CVE-2026-40077 は、サーバー監視プラットフォームである Beszel に影響を与えます。0.18.7 より前のバージョンでは、Beszel ハブの特定の API エンドポイントは、ユーザーが提供するシステム ID を受け入れ、そのシステムへのアクセス権限がユーザーにあるかどうかを検証するための追加チェックを行いません。これにより、任意の認証済みユーザーが、システム ID を知っていれば、任意のシステムに対してこれらのルートにアクセスできるようになります。システム ID は 15 文字のランダムな英数字文字列であり、すべてのユーザーに公開されるわけではありませんが、認証済みユーザーが有効なシステム ID を列挙できる理論的な可能性はあります。主な影響は、不正アクセスユーザーにシステムの監視データが公開される可能性であり、サーバー情報の機密性と整合性が損なわれる可能性があります。

Organizations utilizing Beszel for server monitoring, particularly those with multiple systems and a large number of authenticated users, are at risk. Environments with weak access controls or where system IDs are not adequately protected are especially vulnerable.

• nodejs / server:

grep -r 'req.body.system_id' /opt/beszel/app/routes/*.js

• nodejs / server:

journalctl -u beszel -f | grep "Accessing system with ID"

• generic web: Review Beszel API access logs for unusual requests targeting specific system IDs.

1. 2026-04-09Disclosure

   disclosure

1. 予約済み2026-04-09
2. 公開日2026-04-09
3. 更新日2026-04-13
4. EPSS 更新日2026-04-17

CVE-2026-40077 の修正策は、Beszel をバージョン 0.18.7 以降にアップグレードすることです。このバージョンでは、API エンドポイントに対して適切なアクセス制御が実装され、認証されたユーザーが特定のシステムのデータにアクセスするために必要な権限を持っていることを検証します。その間、予防措置として、Beszel 内のユーザー権限をレビューおよび制限し、監視する必要のあるシステムにのみアクセスできるようにすることをお勧めします。また、API アクセスログを監査して、疑わしい活動を検出することも推奨されます。