CVE-2026-29194

Nome do Software Vulnerável e Versões Afetadas Versões do Netmaker anteriores à 1.5.0

Descrição O Netmaker, que utiliza o WireGuard, apresenta um problema em que o middleware Authorize não valida adequadamente os tokens JWT de hosts. Quando a autenticação de host é permitida (hostAllowed=true), um token de host válido contorna as verificações de autorização sem confirmar os direitos de acesso do host ao recurso solicitado. Isso permite que entidades com conhecimento dos identificadores de objetos (IDs de nó, IDs de host) construam solicitações usando um token de host válido para acessar, modificar ou excluir recursos pertencentes a outros hosts. Os seguintes endpoints de API são afetados: recuperação de informações de nó, exclusão de host, transmissão de sinais MQTT, atualizações de host de fallback e operações de failover. O parâmetro vulnerável é o token JWT do host.

Recomendações Atualize para a versão 1.5.0 ou posterior.