CVE-2026-45108

Nome do Software Vulnerável e Versões Afetadas Himmelblau versões 2.0.0 até 3.1.4 Himmelblau versões anteriores a 2.3.11

Descrição Existe um bypass de autenticação no fluxo Device Authorization Grant (DAG), que é um processo que permite que dispositivos com capacidades de entrada limitadas sejam autenticados. Este problema permite que um usuário dentro do mesmo domínio Entra ID obtenha uma sessão Unix local como outro usuário ao fornecer suas próprias credenciais válidas. A falha está localizada na função token validate(), que valida aliases de domínio para cenários de múltiplos domínios, mas falha ao verificar se a parte local (nome de usuário) do UPN (User Principal Name) do usuário autenticado corresponde ao nome de usuário da conta solicitada, comparando apenas os domínios em vez dos nomes de usuário completos.

Recomendações Atualizar para a versão 3.1.5. Atualizar para a versão 2.3.11.