PT-2026-23871 · Wireguard+1 · Wireguard+1
Artem Danilov
·
Publicado
2025-08-08
·
Atualizado
2026-03-25
·
CVE-2026-29196
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Netmaker anteriores a 1.5.0
Descrição
O Netmaker, uma ferramenta de rede que utiliza o WireGuard, apresenta um problema no qual um usuário com a função platform-user pode acessar as chaves privadas do WireGuard para todas as configurações dentro de uma rede. Isso ocorre por meio do uso de endpoints de API específicos sem filtragem adequada com base na propriedade do usuário. Os endpoints de API afetados são
/api/extclients/{network} e /api/nodes/{network}. O problema permite a recuperação não autorizada de dados sensíveis, incluindo chaves privadas do WireGuard, apesar das restrições da interface do usuário (UI) destinadas a limitar a visibilidade. A variável {network} representa o identificador da rede.Recomendações
Atualize para a versão 1.5.0 ou posterior.
Exploit
Correção
Incorrect Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Netmaker
Wireguard