Platform
nodejs
Component
beszel
Opgelost in
0.18.8
CVE-2026-40077 is een kwetsbaarheid in Beszel waarbij API-endpoints geen correcte toegangscontrole uitvoeren. Geauthenticeerde gebruikers kunnen toegang krijgen tot systemen waarvoor ze geen rechten hebben, simpelweg door de systeem-ID te kennen. De kwetsbaarheid treft Beszel versies van 0.0.0 tot en met 0.18.6. Een update naar versie 0.18.7 is beschikbaar om dit probleem te verhelpen.
CVE-2026-40077 treft Beszel, een servermonitoringplatform. Voor versie 0.18.7 accepteerden bepaalde API-endpoints een door de gebruiker aangeleverde systeem-ID zonder aanvullende controles uit te voeren om te verifiëren of de gebruiker toegang had tot dat systeem. Dit stelt elke geauthenticeerde gebruiker in staat om toegang te krijgen tot deze routes voor elk systeem als ze de systeem-ID kennen. Hoewel systeem-ID's willekeurige alfanumerieke strings van 15 tekens zijn en niet aan alle gebruikers worden getoond, is er theoretisch een mogelijkheid dat een geauthenticeerde gebruiker een geldige systeem-ID kan opsommen. De belangrijkste impact is de mogelijke openbaarmaking van monitoringgegevens voor systemen aan ongeautoriseerde gebruikers, wat de vertrouwelijkheid en integriteit van serverinformatie kan compromitteren.
Het exploiteren van deze kwetsbaarheid vereist dat een gebruiker is geauthenticeerd binnen Beszel. De aanvaller moet de systeem-ID kennen waartoe hij toegang wil, die, hoewel willekeurig, mogelijk kan worden geraden of ontdekt via social engineering of andere kwetsbaarheden. Aangezien systeem-ID's niet gemakkelijk te voorspellen zijn, is directe exploitatie onwaarschijnlijk, maar de mogelijkheid van ID-opsomming vergroot het risico. Authenticatie is, hoewel noodzakelijk, niet voldoende om ongeautoriseerde toegang tot systeeminformatie te voorkomen. Het ontbreken van de juiste validatie van de systeem-ID in de API-endpoints is de hoofdoorzaak van de kwetsbaarheid.
Organizations utilizing Beszel for server monitoring, particularly those with multiple systems and a large number of authenticated users, are at risk. Environments with weak access controls or where system IDs are not adequately protected are especially vulnerable.
• nodejs / server:
grep -r 'req.body.system_id' /opt/beszel/app/routes/*.js• nodejs / server:
journalctl -u beszel -f | grep "Accessing system with ID"• generic web: Review Beszel API access logs for unusual requests targeting specific system IDs.
disclosure
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-40077 is om Beszel te upgraden naar versie 0.18.7 of hoger. Deze versie implementeert de juiste toegangscontroles voor de API-endpoints, waarbij wordt geverifieerd of de geauthenticeerde gebruiker de benodigde machtigingen heeft om toegang te krijgen tot de gegevens van het specifieke systeem. In de tussentijd wordt, als preventieve maatregel, aanbevolen om gebruikersrechten binnen Beszel te beoordelen en te beperken, zodat ze alleen toegang hebben tot de systemen die ze moeten monitoren. Het is ook raadzaam om API-toegangslogboeken te auditeren op verdachte activiteiten.
Actualice Beszel a la versión 0.18.7 o superior para mitigar la vulnerabilidad de IDOR. Esta actualización implementa verificaciones de acceso adecuadas para proteger los endpoints de la API del hub contra el acceso no autorizado.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Beszel is een servermonitoringplatform dat beheerders in staat stelt de status en prestaties van hun servers te bewaken.
Als u een versie van Beszel gebruikt vóór 0.18.7, kan een geauthenticeerde gebruiker mogelijk toegang krijgen tot monitoringgegevens voor systemen waarvoor ze geen toegang zouden moeten hebben.
Upgrade Beszel zo snel mogelijk naar versie 0.18.7 of hoger.
Beoordeel en beperk gebruikersrechten binnen Beszel en auditeer API-toegangslogboeken.
Hoewel systeem-ID's willekeurig zijn, is er theoretisch een mogelijkheid tot opsomming, dus wees voorzichtig.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.