平台
nodejs
组件
homebox
修复版本
0.25.1
HomeBox是一个家庭物品盘点和整理系统。在0.25.0版本之前,HomeBox存在一个漏洞:用户被邀请加入群组后,默认群组ID会永久分配给用户,即使其访问权限被撤销。虽然Web界面正确执行了访问权限撤销,但API没有。由于原始群组ID作为用户的默认群组持续存在,且当X-Tenant头信息缺失时未进行适当验证,用户仍然可以执行完整的CRUD操作。该漏洞影响HomeBox 0.0.0到0.25.0版本,已在0.25.0版本中修复。
CVE-2026-40196 影响 HomeBox(家庭清点和整理系统)在 0.25.0 之前的版本。该漏洞在于,即使用户的默认群组访问权限被撤销,用户的默认群组 ID 仍然会永久分配。虽然 Web 界面会正确地强制执行访问权限撤销,从而防止用户查看或修改群组内容,但 API 却没有。这使得攻击者,如果拥有 API 访问权限,可能会利用此持久的群组 ID 来执行未经授权的操作或访问应该限制给用户的敏感信息,即使 Web 界面可以防止这种情况发生。如果默认群组具有提升的权限或访问关键数据,则影响会更大。
利用此漏洞需要访问 HomeBox API。攻击者可以向 API 发送请求,代表用户访问资源或执行操作,即使用户的群组访问权限已通过 Web 界面撤销。API 中缺乏适当的验证使得持久的默认群组 ID 可以用来绕过访问限制。利用成功的关键取决于 API 的配置以及拥有敏感权限的群组的存在。利用的复杂性是中等的,需要对 HomeBox API 有技术知识以及发送 HTTP 请求的能力。
HomeBox users who have not upgraded to version 0.25.0 are at risk. This includes individuals and families relying on HomeBox for home inventory management. Specifically, deployments with custom API integrations or those lacking robust API security measures are particularly vulnerable.
• nodejs / server:
journalctl -u homebox | grep -i "defaultGroup"• nodejs / server:
ps aux | grep homebox | grep -i "X-Tenant"• generic web:
curl -I 'http://<homebox_ip>/api/groups/<group_id>' -H 'X-Tenant: ' # Check for 403 Forbidden without X-Tenantdisclosure
漏洞利用状态
EPSS
0.03% (9% 百分位)
CISA SSVC
解决 CVE-2026-40196 的方法是将 HomeBox 更新到 0.25.0 或更高版本。此更新通过确保在用户群组访问权限被撤销时,用户的默认群组 ID 会被正确删除来修复漏洞。强烈建议所有 HomeBox 用户尽快更新其安装程序,以降低被利用的风险。此外,建议审查群组权限和用户帐户设置,以确保应用最小权限原则。监控 API 日志中是否存在异常活动也有助于检测和防止潜在攻击。
Actualice a la versión 0.25.0 o posterior para mitigar la vulnerabilidad. Esta actualización corrige la falta de validación del encabezado X-Tenant en la API, evitando que los usuarios accedan a los grupos a los que ya no tienen acceso.
漏洞分析和关键警报直接发送到您的邮箱。
HomeBox 是一个家庭清点和整理系统,允许用户管理他们的财产并与家庭其他成员共享信息。
您可以通过从 HomeBox 官方网站下载最新版本(0.25.0 或更高版本)或通过操作系统的软件包管理系统来更新 HomeBox。
CVE-2026-40196 是此安全漏洞的唯一标识符。它是跟踪和传达安全问题的标准参考。
如果您使用的是 0.25.0 之前的 HomeBox 版本,则您容易受到此漏洞的影响。更新到最新版本是验证和降低风险的最佳方法。
如果您怀疑您的系统已被破坏,请立即更改与 HomeBox 关联的所有帐户的密码,并进行全面的安全审计。
CVSS 向量