CVE-2026-28798
KrytyczneStreszczenie
ZimaOS, będący fork'iem CasaOS, przed wersją 1.5.3, posiadał punkt końcowy proxy (/v1/sys/proxy) w interfejsie webowym, który mógł być nadużyty do wysyłania żądań do wewnętrznych usług localhost. To prowadziło do nieautoryzowanego dostępu do wewnętrznych punktów końcowych i wrażliwych usług lokalnych, gdy produkt był dostępny z Internetu przez Cloudflare Tunnel.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do krytycznych usług wewnętrznych, co może prowadzić do wycieku danych lub kompromitacji systemów. W przypadku wykorzystania tej podatności, atakujący może uzyskać dostęp do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację ZimaOS do wersji 1.5.3 lub nowszej, aby usunąć tę podatność. Dodatkowo, warto rozważyć ograniczenie dostępu do interfejsu webowego tylko do zaufanych adresów IP.
Oryginalny opis (angielski, źródło NVD)
ZimaOS is a fork of CasaOS, an operating system for Zima devices and x86-64 systems with UEFI. Prior to version 1.5.3, a proxy endpoint (/v1/sys/proxy) exposed by ZimaOS's web interface can be abused (via an externally reachable domain using a Cloudflare Tunnel) to make requests to internal localhost services. This results in unauthenticated access to internal-only endpoints and sensitive local services when the product is reachable from the Internet through a Cloudflare Tunnel. This issue has been patched in version 1.5.3.

