製品・ソフトウェアに関する情報

JVN脆弱性詳細

SysAdmins MediaのHomeBoxにおける不適切な所有権の割り当てに関する脆弱性

Title	SysAdmins MediaのHomeBoxにおける不適切な所有権の割り当てに関する脆弱性
Summary	HomeBoxはホーム在庫および整理システムです。バージョン0.25.0より前のバージョンには、ユーザーがグループに招待された後、そのグループへのアクセスが取り消された後も、ユーザーにdefaultGroup IDが永久に割り当てられ続ける脆弱性が含まれていました。ウェブインターフェースはアクセス取り消しを正しく強制しており、ユーザーがグループの内容を閲覧したり変更したりするのを防止していましたが、APIはそうではありませんでした。元のグループIDがユーザーのdefaultGroupとして残り、この値がX-Tenantヘッダーが省略された場合に適切に検証されなかったため、ユーザーはAPIを通じてグループのコレクションに対して完全なCRUD操作を行い、意図されたアクセス制御を回避できました。この問題はバージョン0.25.0で修正されました。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 17, 2026, midnight
Registration Date	April 27, 2026, 10:48 a.m.
Last Update	April 27, 2026, 10:48 a.m.

CVSS3.0 : 重要
Score	8.1
Vector	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Affected System

SysAdmins Media

HomeBox 0.25.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-40196	https://www.cve.org/CVERecord?id=CVE-2026-40196
National Vulnerability Database (NVD)
2	CVE-2026-40196	https://nvd.nist.gov/vuln/detail/CVE-2026-40196

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-708	https://cwe.mitre.org/data/definitions/708.html

ベンダー情報

No	Name	URL
GitHub
1	`defaultGroup` ID and access is retained after access to said group ("collection") is removed Advisory sysadminsmedia/homebox GitHub	https://github.com/sysadminsmedia/homebox/security/advisories/GHSA-6pvm-v73p-p6m9

その他

No	Name	URL
関連文書
1	Release v0.25.0 sysadminsmedia/homebox GitHub	https://github.com/sysadminsmedia/homebox/releases/tag/v0.25.0

Change Log

No	Changed Details	Date of change
1	[2026年04月27日] 掲載	April 27, 2026, 10:48 a.m.

NVD Vulnerability Information

CVE-2026-40196

Summary	HomeBox is a home inventory and organization system. Versions prior to 0.25.0 contain a vulnerability where the defaultGroup ID remained permanently assigned to a user after being invited to a group, even after their access to that group was revoked. While the web interface correctly enforced the access revocation and prevented the user from viewing or modifying the group's contents, the API did not. Because the original group ID persisted as the user's defaultGroup, and this value was not properly validated when the X-Tenant header was omitted, the user could still perform full CRUD operations on the group's collections through the API, bypassing the intended access controls. This issue has been fixed in version 0.25.0.
Publication Date	April 18, 2026, 6:16 a.m.
Registration Date	April 19, 2026, 4:08 a.m.
Last Update	April 24, 2026, 11:23 p.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:sysadminsmedia:homebox::::::::					0.25.0

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/sysadminsmedia/homebox/releases/tag/v0.25.0	security-advisories@github.com
2	https://github.com/sysadminsmedia/homebox/security/advisories/GHSA-6pvm-v73p-p6m9	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-708	不適切な所有権の割り当て	https://cwe.mitre.org/data/definitions/708.html