anonhaven

CVE-2026-28806

CRITICAL CVSS 4.0: 9,4 EPSS 0.04%
Обновлено 10 марта 2026
Параметр Значение
CVSS 9,4 (CRITICAL)
Уязвимые версии до 2.4.0.
Тип уязвимости CWE-668 (Раскрытие ресурса неавторизованным компонентам), CWE-285 (Некорректная авторизация)
Публичный эксплойт Нет

Уязвимость, связанная с неправильной авторизацией в нервных узлах нервов_hub_web, позволяет управлять устройствами между организациями с помощью массовых действий с устройствами и API обновления устройств. Отсутствие проверок авторизации в массовых действиях с устройствами и конечных точках API обновления устройств позволяет прошедшим проверку подлинности пользователям выбирать устройства, принадлежащие другим организациям, и выполнять действия, выходящие за рамки их уровня привилегий. Злоумышленник может выбирать устройства за пределами своей организации, манипулируя идентификаторами устройств, и выполнять над ними действия по управлению, например перемещать их на продукты, которые он контролирует.

Это может позволить злоумышленникам вмешиваться в обновления прошивки, получать доступ к функциям устройства, предоставляемым платформой, или нарушать подключение устройства. В средах, где включены дополнительные функции, такие как удаленный доступ к консоли, это может привести к полной компрометации затронутых устройств. Эта проблема затрагивает нервы_hub_web: с 1.0.0 до 2.4.0.

Показать оригинальное описание (EN)

Improper Authorization vulnerability in nerves-hub nerves_hub_web allows cross-organization device control via device bulk actions and device update API. Missing authorization checks in the device bulk actions and device update API endpoints allow authenticated users to target devices belonging to other organizations and perform actions outside of their privilege level. An attacker can select devices outside of their organization by manipulating device identifiers and perform management actions on them, such as moving them to products they control. This may allow attackers to interfere with firmware updates, access device functionality exposed by the platform, or disrupt device connectivity. In environments where additional features such as remote console access are enabled, this could lead to full compromise of affected devices. This issue affects nerves_hub_web: from 1.0.0 before 2.4.0.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-668 Exposure of Resource to Wrong Sphere (Раскрытие ресурса неавторизованным компонентам)
CWE-285 Improper Authorization (Некорректная авторизация)

Ссылки 2

https://github.com/nerves-hub/nerves_hub_web/commit/1f69c9d595684a4650c3ac702f3…
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
https://github.com/nerves-hub/nerves_hub_web/security/advisories/GHSA-f8fr-mccc…
6b3ad84c-e1a6-4bf7-a703-f496b71e49db
Share Post Share Share Share