Platform
nodejs
Component
homarr
Opgelost in
1.57.1
CVE-2026-32602 beschrijft een race condition kwetsbaarheid in Homarr, een open-source dashboard. Deze kwetsbaarheid in de gebruikersregistratie endpoint (/api/trpc/user.register) stelt aanvallers in staat om meerdere gebruikersaccounts te creëren met een enkel uitnodigingstoken. De kwetsbaarheid treedt op doordat databasebewerkingen niet transactioneel worden uitgevoerd, waardoor meerdere aanvragen de validatiestap kunnen doorlopen voordat de verwijderingsstap wordt bereikt. De kwetsbaarheid is verholpen in versie 1.57.0.
CVE-2026-32602 heeft betrekking op Homarr, een open-source server dashboard, specifiek het gebruikersregistratie-endpoint (/api/trpc/user.register). De kwetsbaarheid ligt in een race condition in de registratie-flow vóór versie 1.57.0. Het registratieproces omvat drie opeenvolgende database-operaties (CHECK, CREATE en DELETE) die worden uitgevoerd zonder transactiebeveiliging. Dit stelt meerdere gelijktijdige verzoeken in staat om de validatiefase te passeren voordat de verwijdering van het uitnodigingstoken is voltooid, waardoor de creatie van meerdere gebruikersaccounts mogelijk wordt met een enkel uitnodigingstoken. De ernst van deze kwetsbaarheid hangt af van de gebruikcontext van Homarr en de gevoeligheid van de beheerde gebruikersgegevens. Een aanvaller kan deze kwetsbaarheid misbruiken om valse accounts te creëren, mogelijk voor kwaadaardige doeleinden zoals spam, denial-of-service-aanvallen of zelfs om toegang te krijgen tot gevoelige informatie als de gemaakte accounts verhoogde privileges verkrijgen.
Het exploiteren van CVE-2026-32602 vereist toegang tot het gebruikersregistratie-endpoint van Homarr. Een aanvaller kan het proces van het verzenden van registratieverzoeken automatiseren met behulp van een enkel uitnodigingstoken. De race condition treedt op wanneer meerdere verzoeken bijna gelijktijdig op de server aankomen. De server verifieert het token, maakt het account aan en voordat de tokenverwijdering is voltooid, verifieert een ander verzoek hetzelfde token en maakt een ander account aan. De moeilijkheidsgraad van de exploitatie hangt af van de serverbelasting en de netwerklatentie. Een zwaar belaste server en een langzaam netwerk verhogen de kans dat de race condition optreedt. Een succesvolle exploitatie vereist een basisbegrip van de Homarr-architectuur en het vermogen om gelijktijdige HTTP-verzoeken te verzenden.
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-32602 is om Homarr bij te werken naar versie 1.57.0 of hoger. Deze versie corrigeert de race condition door een atomische transactie te implementeren die ervoor zorgt dat de verificatie-, creatie- en verwijderingsoperaties als een ondeelbare eenheid worden uitgevoerd. Dit voorkomt dat gelijktijdige verzoeken de validatie van het uitnodigingstoken omzeilen. Naast het bijwerken wordt aanbevolen om de beveiligingsbeleidsregels van Homarr te bekijken, inclusief gebruikersbeheer en invoervalidatie. Het is cruciaal om beveiligingspatches tijdig toe te passen om risico's te beperken. Als een onmiddellijke update niet mogelijk is, kunnen tijdelijke maatregelen worden geïmplementeerd, zoals het beperken van de frequentie van registratieverzoeken of het implementeren van een aanvullend verificatiesysteem om verdachte activiteiten te detecteren.
Actualice a la versión 1.57.0 o superior para mitigar la vulnerabilidad de condición de carrera en el registro de usuarios. Esta actualización corrige el problema al asegurar que las operaciones de base de datos CHECK, CREATE y DELETE se realicen de forma atómica, evitando que múltiples cuentas se registren con un solo token de invitación.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Een race condition treedt op wanneer de uitkomst van een programma afhangt van de volgorde waarin meerdere threads of processen worden uitgevoerd.
Een atomische transactie is een reeks operaties die als een ondeelbare eenheid worden uitgevoerd. Als een operatie mislukt, wordt de gehele transactie teruggedraaid.
Implementeer tijdelijke maatregelen, zoals het beperken van de frequentie van registratieverzoeken of het toevoegen van een aanvullende verificatie.
Controleer uw gebruikersaccounts op ongeautoriseerde accounts die zijn gemaakt met een enkel uitnodigingstoken.
Het bijwerken naar versie 1.57.0 verzacht deze specifieke kwetsbaarheid. Het is echter belangrijk om Homarr up-to-date te houden met de nieuwste beveiligingspatches om uzelf te beschermen tegen andere potentiële kwetsbaarheden.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.