CVE-2026-27981

Nome do Software Vulnerável e Versões Afetadas Versões do HomeBox anteriores a 0.24.0

Descrição O HomeBox, um sistema de inventário e organização doméstica, possui um problema onde o limitador de taxa de autenticação (authRateLimiter) identifica incorretamente os endereços IP do cliente. O limitador de taxa utiliza o cabeçalho X-Real-IP, a primeira entrada no cabeçalho X-Forwarded-For e o endereço de conexão TCP (r.RemoteAddr) para rastrear tentativas de login falhas por cliente. Um atacante conectando-se diretamente ao HomeBox pode manipular o cabeçalho X-Real-IP para contornar o mecanismo de limitação de taxa e obter uma nova identidade a cada solicitação. A opção de configuração TrustProxy (Options.TrustProxy) não é utilizada pelo limitador de taxa ou por qualquer middleware. A função middleware.RealIP em main.go substitui incondicionalmente o r.RemoteAddr com o valor forjado do cabeçalho. O endpoint da API usado para autenticação não é mencionado explicitamente, mas o problema afeta a limitação de taxa das tentativas de autenticação. Os parâmetros vulneráveis são X-Real-IP e X-Forwarded-For.

Recomendações Atualize para a versão 0.24.0 ou posterior.