Plataforma
nodejs
Componente
homarr
Corrigido em
1.57.1
CVE-2026-32602 describes a Race Condition vulnerability found in Homarr, an open-source dashboard. This flaw affects versions 0.0.0 through 1.56.9, allowing attackers to create multiple user accounts using a single-use invite token due to a lack of transactional integrity in the registration process. The vulnerability stems from sequential database operations that are not atomic, allowing concurrent requests to bypass validation. A patch is available in version 1.57.0.
CVE-2026-32602 afeta o Homarr, um painel de servidor de código aberto, especificamente seu endpoint de registro de usuário (/api/trpc/user.register). A vulnerabilidade reside em uma condição de corrida presente no fluxo de registro anterior à versão 1.57.0. O processo de registro envolve três operações sequenciais no banco de dados (VERIFICAR, CRIAR e EXCLUIR) que são executadas sem proteção de uma transação. Isso permite que múltiplas solicitações concorrentes passem pela fase de validação antes que a exclusão do token de convite seja concluída, permitindo a criação de múltiplas contas de usuário usando um único token de convite. A gravidade desta vulnerabilidade depende do contexto de uso do Homarr e da sensibilidade dos dados do usuário gerenciados. Um atacante pode abusar desta vulnerabilidade para criar contas falsas, potencialmente para fins maliciosos, como spam, ataques de negação de serviço ou até mesmo para acessar informações confidenciais se as contas criadas obtiverem privilégios elevados.
A exploração do CVE-2026-32602 requer acesso ao endpoint de registro de usuário do Homarr. Um atacante pode automatizar o processo de envio de solicitações de registro usando um único token de convite. A condição de corrida se manifesta quando várias solicitações chegam ao servidor quase simultaneamente. O servidor verifica o token, cria a conta e, antes que a exclusão do token seja concluída, outra solicitação verifica o mesmo token e cria outra conta. A dificuldade de exploração depende da carga do servidor e da latência da rede. Um servidor com alta carga e uma rede lenta aumentam a probabilidade de a condição de corrida ocorrer. A exploração bem-sucedida requer um conhecimento básico da arquitetura do Homarr e a capacidade de enviar solicitações HTTP concorrentes.
Status do Exploit
EPSS
0.03% (percentil 8%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-32602 é atualizar o Homarr para a versão 1.57.0 ou superior. Esta versão corrige a condição de corrida implementando uma transação atômica que garante que as operações de verificação, criação e exclusão sejam executadas como uma unidade indivisível. Isso impede que solicitações concorrentes contornem a validação do token de convite. Além de atualizar, é recomendável revisar as políticas de segurança do Homarr, incluindo o gerenciamento de usuários e a validação de entrada. É crucial aplicar patches de segurança prontamente para mitigar riscos. Se não for possível atualizar imediatamente, medidas temporárias podem ser implementadas, como limitar a frequência das solicitações de registro ou implementar um sistema de verificação adicional para detectar atividades suspeitas.
Actualice a la versión 1.57.0 o superior para mitigar la vulnerabilidad de condición de carrera en el registro de usuarios. Esta actualización corrige el problema al asegurar que las operaciones de base de datos CHECK, CREATE y DELETE se realicen de forma atómica, evitando que múltiples cuentas se registren con un solo token de invitación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Uma condição de corrida ocorre quando o resultado de um programa depende da ordem em que múltiplas threads ou processos são executados.
Uma transação atômica é uma sequência de operações que são executadas como uma unidade indivisível. Se alguma operação falhar, toda a transação é revertida.
Implemente medidas temporárias, como limitar a frequência das solicitações de registro ou adicionar uma verificação adicional.
Revise suas contas de usuário em busca de contas não autorizadas criadas com um único token de convite.
A atualização para a versão 1.57.0 mitiga esta vulnerabilidade específica. No entanto, é importante manter o Homarr atualizado com os últimos patches de segurança para se proteger contra outras possíveis vulnerabilidades.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.