Homarr heeft een Race Condition in Uitnodigingstokenregistratie (TOCTOU)

Homarr is een open-source dashboard. Voor 1.57.0 is het gebruikersregistratie-eindpunt (/api/trpc/user.register) kwetsbaar voor een race condition waardoor een aanvaller meerdere gebruikersaccounts kan aanmaken met een enkele uitnodigingstoken. De registratieprocedure voert drie opeenvolgende databasebewerkingen uit zonder transactie: CHECK, CREATE en DELETE. Omdat deze bewerkingen niet atomisch zijn, kunnen gelijktijdige verzoeken allemaal de validatiestap (1) doorstaan voordat een ervan de verwijderingsstap (3) bereikt. Dit maakt het mogelijk om meerdere accounts te registreren met een enkele uitnodigingstoken die bedoeld was voor eenmalig gebruik. Deze kwetsbaarheid is verholpen in 1.57.0.