Plataforma
nodejs
Componente
homebox
Corrigido em
0.25.1
CVE-2026-40196 is a high-severity vulnerability affecting HomeBox versions prior to 0.25.0. This flaw allows an attacker to bypass access controls via the API, potentially leading to unauthorized modification or deletion of home inventory data. The vulnerability stems from a persistent defaultGroup ID that isn't properly validated when the X-Tenant header is omitted. Users are advised to upgrade to version 0.25.0 to address this issue.
CVE-2026-40196 afeta o HomeBox, um sistema de inventário e organização doméstica, em versões anteriores a 0.25.0. A vulnerabilidade reside no fato de que o ID do grupo padrão de um usuário permanece permanentemente atribuído, mesmo após o acesso desse usuário ao grupo ser revogado. Embora a interface web aplique corretamente a revogação de acesso, impedindo que o usuário visualize ou modifique o conteúdo do grupo, a API não o faz. Isso permite que um atacante, com acesso à API, explore potencialmente essa persistência do ID do grupo para realizar ações não autorizadas ou acessar informações confidenciais que deveriam ser restritas ao usuário, mesmo que a interface web o impeça. O impacto é amplificado se o grupo padrão tiver privilégios elevados ou acesso a dados críticos.
A exploração desta vulnerabilidade requer acesso à API do HomeBox. Um atacante pode enviar solicitações à API para acessar recursos ou executar ações em nome do usuário, mesmo após o acesso do usuário ao grupo ter sido revogado por meio da interface web. A falta de validação adequada na API permite que o ID do grupo padrão persistente seja usado para contornar as restrições de acesso. O sucesso da exploração depende da configuração da API e da existência de grupos com permissões sensíveis. A complexidade da exploração é moderada, exigindo conhecimento técnico da API do HomeBox e a capacidade de enviar solicitações HTTP.
HomeBox users who have not upgraded to version 0.25.0 are at risk. This includes individuals and families relying on HomeBox for home inventory management. Specifically, deployments with custom API integrations or those lacking robust API security measures are particularly vulnerable.
• nodejs / server:
journalctl -u homebox | grep -i "defaultGroup"• nodejs / server:
ps aux | grep homebox | grep -i "X-Tenant"• generic web:
curl -I 'http://<homebox_ip>/api/groups/<group_id>' -H 'X-Tenant: ' # Check for 403 Forbidden without X-Tenantdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-40196 é atualizar o HomeBox para a versão 0.25.0 ou posterior. Essa atualização corrige a vulnerabilidade, garantindo que o ID do grupo padrão de um usuário seja removido corretamente quando o acesso desse usuário ao grupo for revogado. Recomenda-se fortemente que todos os usuários do HomeBox atualizem sua instalação o mais rápido possível para mitigar o risco de exploração. Além disso, é recomendável revisar as permissões dos grupos e as configurações das contas de usuário para garantir que os princípios do menor privilégio sejam aplicados. Monitorar os logs da API em busca de atividades incomuns também pode ajudar a detectar e prevenir possíveis ataques.
Actualice a la versión 0.25.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación del encabezado X-Tenant en la API, evitando que los usuarios accedan a los grupos a los que ya no tienen acceso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
HomeBox é um sistema de inventário e organização doméstica que permite aos usuários gerenciar seus pertences e compartilhar informações com outros membros da família.
Você pode atualizar o HomeBox baixando a versão mais recente (0.25.0 ou posterior) do site oficial do HomeBox ou por meio do sistema de gerenciamento de pacotes do seu sistema operacional.
CVE-2026-40196 é um identificador único para esta vulnerabilidade de segurança. É uma referência padrão para rastrear e comunicar problemas de segurança.
Se você estiver usando uma versão do HomeBox anterior a 0.25.0, você é vulnerável a esta vulnerabilidade. Atualizar para a versão mais recente é a melhor forma de verificar e mitigar o risco.
Se você suspeitar que seu sistema foi comprometido, altere imediatamente as senhas de todas as contas associadas ao HomeBox e realize uma auditoria de segurança completa.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.