CVE-2026-28798
CriticalSummary
ZimaOS, będący fork'iem CasaOS, przed wersją 1.5.3, posiadał punkt końcowy proxy (/v1/sys/proxy) w interfejsie webowym, który mógł być nadużyty do wysyłania żądań do wewnętrznych usług localhost. To prowadziło do nieautoryzowanego dostępu do wewnętrznych punktów końcowych i wrażliwych usług lokalnych, gdy produkt był dostępny z Internetu przez Cloudflare Tunnel.
Risk Assessment
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do krytycznych usług wewnętrznych, co może prowadzić do wycieku danych lub kompromitacji systemów. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do wrażliwych informacji.
Recommendation
Zaleca się aktualizację ZimaOS do wersji 1.5.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do interfejsu webowego tylko do zaufanych adresów IP.
Original NVD description (English source)
ZimaOS is a fork of CasaOS, an operating system for Zima devices and x86-64 systems with UEFI. Prior to version 1.5.3, a proxy endpoint (/v1/sys/proxy) exposed by ZimaOS's web interface can be abused (via an externally reachable domain using a Cloudflare Tunnel) to make requests to internal localhost services. This results in unauthenticated access to internal-only endpoints and sensitive local services when the product is reachable from the Internet through a Cloudflare Tunnel. This issue has been patched in version 1.5.3.

