CVE-2026-44426

Nome do Software Vulnerável e Versões Afetadas ShellHub versões anteriores a 0.24.2

Descrição Existe um problema onde o endpoint "/api/namespaces/:tenant" retorna o objeto de namespace completo para qualquer chamador autenticado via API Key, independentemente do escopo de tenant da API Key. Este objeto inclui informações sensíveis, como a lista de membros (IDs de usuário, e-mails e funções), configurações e contagem de dispositivos. O problema ocorre porque o manipulador ignora a verificação de associação quando a variável de ID de usuário X-ID está ausente, que é o comportamento padrão para a autenticação por API Key. Isso permite a enumeração de qualquer namespace por UUID de tenant e a divulgação de detalhes dos membros e configurações do namespace.

Recomendações Atualize para a versão 0.24.2.