Plataforma
nodejs
Componente
beszel
Corrigido em
0.18.8
Uma vulnerabilidade foi descoberta no Beszel, uma plataforma de monitoramento de servidor. Essa falha permite que usuários autenticados acessem informações de outros sistemas, mesmo sem permissão adequada. A vulnerabilidade afeta versões do Beszel anteriores à 0.18.7. A correção para essa vulnerabilidade está disponível na versão 0.18.7.
CVE-2026-40077 afeta o Beszel, uma plataforma de monitorização de servidores. Antes da versão 0.18.7, alguns endpoints da API aceitavam um ID de sistema fornecido pelo utilizador sem realizar verificações adicionais para verificar se o utilizador tinha acesso a esse sistema. Isto permite que qualquer utilizador autenticado aceda a estas rotas para qualquer sistema se conhecer o ID do sistema. Embora os IDs de sistema sejam cadeias alfanuméricas aleatórias de 15 caracteres e não sejam expostos a todos os utilizadores, existe uma possibilidade teórica de que um utilizador autenticado possa enumerar um ID de sistema válido. O impacto principal é a possível exposição de dados de monitorização de sistemas a utilizadores não autorizados, o que poderia comprometer a confidencialidade e a integridade da informação do servidor.
A exploração desta vulnerabilidade requer que um utilizador esteja autenticado no Beszel. O atacante precisa de conhecer o ID do sistema ao qual deseja aceder, que, embora aleatório, poderia ser adivinhado ou descoberto através de engenharia social ou de outras vulnerabilidades. Dado que os IDs de sistema não são facilmente previsíveis, a exploração direta é pouco provável, mas a possibilidade de enumeração de IDs aumenta o risco. A autenticação, embora necessária, não é suficiente para prevenir o acesso não autorizado aos dados do sistema. A falta de validação adequada do ID de sistema nos endpoints da API é a causa raiz da vulnerabilidade.
Organizations utilizing Beszel for server monitoring, particularly those with multiple systems and a large number of authenticated users, are at risk. Environments with weak access controls or where system IDs are not adequately protected are especially vulnerable.
• nodejs / server:
grep -r 'req.body.system_id' /opt/beszel/app/routes/*.js• nodejs / server:
journalctl -u beszel -f | grep "Accessing system with ID"• generic web: Review Beszel API access logs for unusual requests targeting specific system IDs.
disclosure
Status do Exploit
EPSS
0.05% (percentil 17%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-40077 é atualizar o Beszel para a versão 0.18.7 ou posterior. Esta versão implementa controlos de acesso adequados para os endpoints da API, verificando se o utilizador autenticado tem as permissões necessárias para aceder aos dados do sistema específico. Enquanto isso, como medida preventiva, recomenda-se rever e limitar as permissões dos utilizadores no Beszel, garantindo que só têm acesso aos sistemas que precisam de monitorizar. Também é aconselhável auditar os registos de acesso à API para detetar qualquer atividade suspeita.
Actualice Beszel a la versión 0.18.7 o superior para mitigar la vulnerabilidad de IDOR. Esta actualización implementa verificaciones de acceso adecuadas para proteger los endpoints de la API del hub contra el acceso no autorizado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Beszel é uma plataforma de monitorização de servidores que permite aos administradores monitorizar o estado e o desempenho dos seus servidores.
Se estiver a utilizar uma versão do Beszel anterior à 0.18.7, um utilizador autenticado poderá aceder a dados de monitorização de sistemas aos quais não deveria ter acesso.
Atualize o Beszel para a versão 0.18.7 ou posterior o mais rapidamente possível.
Reveja e limite as permissões dos utilizadores no Beszel e audite os registos de acesso à API.
Embora os IDs de sistema sejam aleatórios, existe uma possibilidade teórica de enumeração, pelo que se recomenda ser cauteloso.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.