Platform
nodejs
Component
homebox
Opgelost in
0.25.1
CVE-2026-40196 is a high-severity vulnerability affecting HomeBox versions prior to 0.25.0. This flaw allows an attacker to bypass access controls via the API, potentially leading to unauthorized modification or deletion of home inventory data. The vulnerability stems from a persistent defaultGroup ID that isn't properly validated when the X-Tenant header is omitted. Users are advised to upgrade to version 0.25.0 to address this issue.
CVE-2026-40196 treft HomeBox, een systeem voor inventarisatie en organisatie van de woning, in versies vóór 0.25.0. De kwetsbaarheid ligt in het feit dat de standaardgroep-ID van een gebruiker permanent toegewezen blijft, zelfs nadat hun toegang tot die groep is ingetrokken. Hoewel de webinterface de toegangsinrekking correct afdwingt, waardoor de gebruiker het inhoud van de groep niet kan bekijken of wijzigen, doet de API dat niet. Dit stelt een aanvaller, met API-toegang, in staat om deze persistente groeps-ID potentieel uit te buiten om ongeautoriseerde acties uit te voeren of gevoelige informatie te verkrijgen waartoe de gebruiker geen toegang zou moeten hebben, zelfs als de webinterface dit voorkomt. De impact wordt versterkt als de standaardgroep verhoogde privileges of toegang heeft tot kritieke gegevens.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de HomeBox API. Een aanvaller kan verzoeken naar de API sturen om toegang te krijgen tot resources of acties uit te voeren namens de gebruiker, zelfs nadat de toegang van de gebruiker tot de groep via de webinterface is ingetrokken. Het ontbreken van de juiste validatie in de API maakt het mogelijk dat de persistente standaardgroeps-ID wordt gebruikt om toegangsbeperkingen te omzeilen. Het succes van de exploitatie hangt af van de API-configuratie en het bestaan van groepen met gevoelige rechten. De complexiteit van de exploitatie is matig en vereist technische kennis van de HomeBox API en het vermogen om HTTP-verzoeken te verzenden.
HomeBox users who have not upgraded to version 0.25.0 are at risk. This includes individuals and families relying on HomeBox for home inventory management. Specifically, deployments with custom API integrations or those lacking robust API security measures are particularly vulnerable.
• nodejs / server:
journalctl -u homebox | grep -i "defaultGroup"• nodejs / server:
ps aux | grep homebox | grep -i "X-Tenant"• generic web:
curl -I 'http://<homebox_ip>/api/groups/<group_id>' -H 'X-Tenant: ' # Check for 403 Forbidden without X-Tenantdisclosure
Exploit Status
EPSS
0.03% (9% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-40196 is om HomeBox bij te werken naar versie 0.25.0 of hoger. Deze update corrigeert de kwetsbaarheid door ervoor te zorgen dat de standaardgroep-ID van een gebruiker correct wordt verwijderd wanneer hun toegang tot de groep is ingetrokken. Het wordt ten zeerste aanbevolen dat alle HomeBox-gebruikers hun installatie zo snel mogelijk bijwerken om het risico op uitbuiting te beperken. Bovendien wordt aanbevolen om de groepsrechten en gebruikersinstellingen te bekijken om ervoor te zorgen dat het principe van minimale privileges wordt toegepast. Het monitoren van de API-logboeken op ongebruikelijke activiteiten kan ook helpen bij het detecteren en voorkomen van potentiële aanvallen.
Actualice a la versión 0.25.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación del encabezado X-Tenant en la API, evitando que los usuarios accedan a los grupos a los que ya no tienen acceso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
HomeBox is een systeem voor inventarisatie en organisatie van de woning waarmee gebruikers hun bezittingen kunnen beheren en informatie met andere gezinsleden kunnen delen.
U kunt HomeBox bijwerken door de nieuwste versie (0.25.0 of hoger) te downloaden van de officiële HomeBox-website of via het pakketbeheersysteem van uw besturingssysteem.
CVE-2026-40196 is een unieke identificatiecode voor deze beveiligingskwetsbaarheid. Het is een standaardreferentie voor het volgen en communiceren van beveiligingsproblemen.
Als u een versie van HomeBox gebruikt vóór 0.25.0, bent u kwetsbaar voor deze kwetsbaarheid. Het bijwerken naar de nieuwste versie is de beste manier om het risico te controleren en te beperken.
Als u vermoedt dat uw systeem is gecompromitteerd, wijzigt u onmiddellijk de wachtwoorden van alle accounts die met HomeBox zijn geassocieerd en voert u een uitgebreid beveiligingsonderzoek uit.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.