CVE-2026-40196

Name of the Vulnerable Software and Affected Versions HomeBox versões anteriores a 0.25.0

Description Existe um problema onde o ID defaultGroup permanece permanentemente atribuído a um usuário após o acesso a um grupo ser revogado. Embora a interface web aplique essa revogação, a API não valida adequadamente o valor de defaultGroup quando o cabeçalho 'X-Tenant' é omitido. Isso permite que um usuário realize operações completas de CRUD (Criação, Leitura, Atualização e Exclusão) nas coleções do grupo via API, ignorando os controles de acesso.

Recommendations Atualizar para a versão 0.25.0.