CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-28798

Critical
Published: Translated: NVD NIST

Summary

ZimaOS, będący fork'iem CasaOS, przed wersją 1.5.3, posiadał punkt końcowy proxy (/v1/sys/proxy) w interfejsie webowym, który mógł być nadużyty do wysyłania żądań do wewnętrznych usług localhost. To prowadziło do nieautoryzowanego dostępu do wewnętrznych punktów końcowych i wrażliwych usług lokalnych, gdy produkt był dostępny z Internetu przez Cloudflare Tunnel.

Risk Assessment

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do krytycznych usług wewnętrznych, co może prowadzić do wycieku danych lub kompromitacji systemów. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do wrażliwych informacji.

Recommendation

Zaleca się aktualizację ZimaOS do wersji 1.5.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do interfejsu webowego tylko do zaufanych adresów IP.

Original NVD description (English source)

ZimaOS is a fork of CasaOS, an operating system for Zima devices and x86-64 systems with UEFI. Prior to version 1.5.3, a proxy endpoint (/v1/sys/proxy) exposed by ZimaOS's web interface can be abused (via an externally reachable domain using a Cloudflare Tunnel) to make requests to internal localhost services. This results in unauthenticated access to internal-only endpoints and sensitive local services when the product is reachable from the Internet through a Cloudflare Tunnel. This issue has been patched in version 1.5.3.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS