| タイトル | SysAdmins MediaのHomeBoxにおける不適切な所有権の割り当てに関する脆弱性 |
|---|---|
| 概要 | HomeBoxはホーム在庫および整理システムです。バージョン0.25.0より前のバージョンには、ユーザーがグループに招待された後、そのグループへのアクセスが取り消された後も、ユーザーにdefaultGroup IDが永久に割り当てられ続ける脆弱性が含まれていました。ウェブインターフェースはアクセス取り消しを正しく強制しており、ユーザーがグループの内容を閲覧したり変更したりするのを防止していましたが、APIはそうではありませんでした。元のグループIDがユーザーのdefaultGroupとして残り、この値がX-Tenantヘッダーが省略された場合に適切に検証されなかったため、ユーザーはAPIを通じてグループのコレクションに対して完全なCRUD操作を行い、意図されたアクセス制御を回避できました。この問題はバージョン0.25.0で修正されました。 |
| 想定される影響 | 当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年4月17日0:00 |
| 登録日 | 2026年4月27日10:48 |
| 最終更新日 | 2026年4月27日10:48 |
| CVSS3.0 : 重要 | |
| スコア | 8.1 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
| SysAdmins Media |
| HomeBox 0.25.0 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年04月27日] 掲載 |
2026年4月27日10:48 |
| 概要 | HomeBox is a home inventory and organization system. Versions prior to 0.25.0 contain a vulnerability where the defaultGroup ID remained permanently assigned to a user after being invited to a group, even after their access to that group was revoked. While the web interface correctly enforced the access revocation and prevented the user from viewing or modifying the group's contents, the API did not. Because the original group ID persisted as the user's defaultGroup, and this value was not properly validated when the X-Tenant header was omitted, the user could still perform full CRUD operations on the group's collections through the API, bypassing the intended access controls. This issue has been fixed in version 0.25.0. |
|---|---|
| 公表日 | 2026年4月18日6:16 |
| 登録日 | 2026年4月19日4:08 |
| 最終更新日 | 2026年4月24日23:23 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:sysadminsmedia:homebox:*:*:*:*:*:*:*:* | 0.25.0 | ||||