CVE-2026-26016

Nome do Software Vulnerável e Versões Afetadas Versões do Pterodactyl Panel anteriores a 1.12.1

Descrição A ausência de uma verificação de autorização permite que qualquer usuário com acesso a um token secreto de nó recupere informações sobre qualquer servidor em uma instância do Pterodactyl, mesmo que esse servidor esteja associado a um nó diferente. Esse problema decorre da ausência de lógica para verificar se o nó que solicita os dados do servidor é o mesmo nó com o qual o servidor está associado. Nós Wings autenticados podem recuperar scripts de instalação de servidores (que podem conter valores secretos) e manipular o status de instalação de servidores pertencentes a outros nós. Os nós Wings também podem manipular o status de transferência de servidores pertencentes a outros nós. O endpoint da API Remota /api/remote/servers/{uuid} recupera um servidor pelo UUID e retorna sua configuração completa sem verificar se o nó que fez a solicitação é o proprietário do servidor. Os métodos failure() e success() no ServerTransferController recuperam servidores por UUID sem verificar a propriedade do nó. A ausência de verificações de autorização no ServerInstallController permite que qualquer nó Wings autenticado recupere scripts de instalação de eggs (contendo segredos de implantação) e manipule o status de instalação de servidores pertencentes a outros nós. Um token comprometido do daemon do nó Wings concede acesso a dados sensíveis de configuração de todos os servidores no painel, em vez de apenas aos servidores aos quais o nó tem acesso. Acionar uma transferência bem-sucedida falsa faz com que o painel exclua o servidor do nó de origem, resultando em perda permanente de dados.

Recomendações Atualize para a versão 1.12.1 ou posterior.