Homarr possui uma Condição de Corrida no Registro de Token de Convite (TOCTOU)
Plataforma
nodejs
Componente
homarr
Corrigido em
1.57.1
CVE-2026-32602 describes a Race Condition vulnerability found in Homarr, an open-source dashboard. This flaw affects versions 0.0.0 through 1.56.9, allowing attackers to create multiple user accounts using a single-use invite token due to a lack of transactional integrity in the registration process. The vulnerability stems from sequential database operations that are not atomic, allowing concurrent requests to bypass validation. A patch is available in version 1.57.0.
Impacto e Cenários de Ataque
CVE-2026-32602 afeta o Homarr, um painel de servidor de código aberto, especificamente seu endpoint de registro de usuário (/api/trpc/user.register). A vulnerabilidade reside em uma condição de corrida presente no fluxo de registro anterior à versão 1.57.0. O processo de registro envolve três operações sequenciais no banco de dados (VERIFICAR, CRIAR e EXCLUIR) que são executadas sem proteção de uma transação. Isso permite que múltiplas solicitações concorrentes passem pela fase de validação antes que a exclusão do token de convite seja concluída, permitindo a criação de múltiplas contas de usuário usando um único token de convite. A gravidade desta vulnerabilidade depende do contexto de uso do Homarr e da sensibilidade dos dados do usuário gerenciados. Um atacante pode abusar desta vulnerabilidade para criar contas falsas, potencialmente para fins maliciosos, como spam, ataques de negação de serviço ou até mesmo para acessar informações confidenciais se as contas criadas obtiverem privilégios elevados.
Contexto de Exploração
A exploração do CVE-2026-32602 requer acesso ao endpoint de registro de usuário do Homarr. Um atacante pode automatizar o processo de envio de solicitações de registro usando um único token de convite. A condição de corrida se manifesta quando várias solicitações chegam ao servidor quase simultaneamente. O servidor verifica o token, cria a conta e, antes que a exclusão do token seja concluída, outra solicitação verifica o mesmo token e cria outra conta. A dificuldade de exploração depende da carga do servidor e da latência da rede. Um servidor com alta carga e uma rede lenta aumentam a probabilidade de a condição de corrida ocorrer. A exploração bem-sucedida requer um conhecimento básico da arquitetura do Homarr e a capacidade de enviar solicitações HTTP concorrentes.
Inteligência de Ameaças
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Alta — exige condição de corrida, configuração não padrão ou circunstâncias específicas.
- Privileges Required
- Baixo — qualquer conta de usuário válida é suficiente.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Baixo — acesso parcial ou indireto a alguns dados.
- Integrity
- Baixo — o atacante pode modificar alguns dados com alcance limitado.
- Availability
- Nenhum — sem impacto na disponibilidade.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- EPSS atualizado
Mitigação e Soluções Alternativas
A solução para CVE-2026-32602 é atualizar o Homarr para a versão 1.57.0 ou superior. Esta versão corrige a condição de corrida implementando uma transação atômica que garante que as operações de verificação, criação e exclusão sejam executadas como uma unidade indivisível. Isso impede que solicitações concorrentes contornem a validação do token de convite. Além de atualizar, é recomendável revisar as políticas de segurança do Homarr, incluindo o gerenciamento de usuários e a validação de entrada. É crucial aplicar patches de segurança prontamente para mitigar riscos. Se não for possível atualizar imediatamente, medidas temporárias podem ser implementadas, como limitar a frequência das solicitações de registro ou implementar um sistema de verificação adicional para detectar atividades suspeitas.
Como corrigirtraduzindo…
Actualice a la versión 1.57.0 o superior para mitigar la vulnerabilidad de condición de carrera en el registro de usuarios. Esta actualización corrige el problema al asegurar que las operaciones de base de datos CHECK, CREATE y DELETE se realicen de forma atómica, evitando que múltiples cuentas se registren con un solo token de invitación.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-32602 — Race Condition em Homarr?
Uma condição de corrida ocorre quando o resultado de um programa depende da ordem em que múltiplas threads ou processos são executados.
Estou afetado pelo CVE-2026-32602 no Homarr?
Uma transação atômica é uma sequência de operações que são executadas como uma unidade indivisível. Se alguma operação falhar, toda a transação é revertida.
Como corrijo o CVE-2026-32602 no Homarr?
Implemente medidas temporárias, como limitar a frequência das solicitações de registro ou adicionar uma verificação adicional.
O CVE-2026-32602 está sendo explorado ativamente?
Revise suas contas de usuário em busca de contas não autorizadas criadas com um único token de convite.
Onde encontro o aviso oficial do Homarr para o CVE-2026-32602?
A atualização para a versão 1.57.0 mitiga esta vulnerabilidade específica. No entanto, é importante manter o Homarr atualizado com os últimos patches de segurança para se proteger contra outras possíveis vulnerabilidades.
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.