プラットフォーム
nodejs
コンポーネント
homebox
修正版
0.25.1
CVE-2026-40196 is a high-severity vulnerability affecting HomeBox versions prior to 0.25.0. This flaw allows an attacker to bypass access controls via the API, potentially leading to unauthorized modification or deletion of home inventory data. The vulnerability stems from a persistent defaultGroup ID that isn't properly validated when the X-Tenant header is omitted. Users are advised to upgrade to version 0.25.0 to address this issue.
CVE-2026-40196 は、バージョン 0.25.0 以前の HomeBox(家庭用インベントリおよび整理システム)に影響を与えます。この脆弱性は、ユーザーのデフォルトグループ ID が、そのグループへのアクセスが取り消された後でも、永続的に割り当てられたままになるという点にあります。Web インターフェイスはアクセス取り消しを正しく適用し、ユーザーがグループの内容を表示または変更できないようにしますが、API はそうではありません。これにより、API へのアクセス権を持つ攻撃者は、この永続的なグループ ID を悪用して、Web インターフェイスがそれを防いでいるにもかかわらず、ユーザーに制限されているはずの機密情報にアクセスしたり、不正なアクションを実行したりする可能性があります。デフォルトグループが昇格された権限または重要なデータへのアクセス権を持っている場合、影響はさらに大きくなります。
この脆弱性の悪用には、HomeBox API へのアクセスが必要です。攻撃者は、API にリクエストを送信して、ユーザーに代わってリソースにアクセスしたり、アクションを実行したりする可能性があります。グループへのユーザーアクセスが Web インターフェイス経由で取り消された後でも、これは可能です。API 内の適切な検証がないため、永続的なデフォルトグループ ID がアクセス制限を回避するために使用される可能性があります。悪用の成功は、API の構成と、機密性の高い権限を持つグループの存在に依存します。悪用の複雑さは中程度であり、HomeBox API に関する技術的な知識と、HTTP リクエストを送信する能力が必要です。
HomeBox users who have not upgraded to version 0.25.0 are at risk. This includes individuals and families relying on HomeBox for home inventory management. Specifically, deployments with custom API integrations or those lacking robust API security measures are particularly vulnerable.
• nodejs / server:
journalctl -u homebox | grep -i "defaultGroup"• nodejs / server:
ps aux | grep homebox | grep -i "X-Tenant"• generic web:
curl -I 'http://<homebox_ip>/api/groups/<group_id>' -H 'X-Tenant: ' # Check for 403 Forbidden without X-Tenantdisclosure
エクスプロイト状況
EPSS
0.03% (9% パーセンタイル)
CISA SSVC
CVE-2026-40196 の解決策は、HomeBox をバージョン 0.25.0 以降に更新することです。この更新により、ユーザーのグループへのアクセスが取り消されたときに、ユーザーのデフォルトグループ ID が正しく削除されるようになります。HomeBox のすべてのユーザーに、可能な限り早くインストールを更新して、悪用のリスクを軽減することを強くお勧めします。さらに、最小権限の原則を適用するために、グループの権限とユーザーアカウントの設定を確認することをお勧めします。API ログを異常なアクティビティについて監視することも、潜在的な攻撃を検出および防止するのに役立ちます。
Actualice a la versión 0.25.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación del encabezado X-Tenant en la API, evitando que los usuarios accedan a los grupos a los que ya no tienen acceso.
脆弱性分析と重要アラートをメールでお届けします。
HomeBox は、ユーザーが所有物を管理し、他の家庭のメンバーと情報を共有できる家庭用インベントリおよび整理システムです。
HomeBox を最新バージョン(0.25.0 以降)を HomeBox の公式 Web サイトからダウンロードするか、オペレーティングシステムのパッケージ管理システム経由で更新できます。
CVE-2026-40196 は、このセキュリティ脆弱性のためのユニークな識別子です。セキュリティの問題を追跡および伝達するための標準参照です。
バージョン 0.25.0 以前の HomeBox を使用している場合、この脆弱性に対して脆弱です。最新バージョンに更新することが、リスクを検証および軽減するための最良の方法です。
システムが侵害された疑いがある場合は、HomeBox に関連付けられているすべてのアカウントのパスワードをすぐに変更し、包括的なセキュリティ監査を実施してください。
CVSS ベクトル