Katalog CVE

CVE-2026-32136

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

AdGuard Home to oprogramowanie do blokowania reklam i śledzenia w sieci. Przed wersją 0.107.73, nieautoryzowany atakujący mógł obejść wszelkie mechanizmy uwierzytelniania, wysyłając żądanie HTTP/1.1, które prosiło o aktualizację do HTTP/2 w czystym tekście (h2c). Po zaakceptowaniu aktualizacji, połączenie HTTP/2 było obsługiwane bez żadnego middleware'u uwierzytelniającego.

Ocena ryzyka

Organizacja jest narażona na ryzyko nieautoryzowanego dostępu do zasobów AdGuard Home, co może prowadzić do wycieku danych lub nieautoryzowanego działania w sieci. Atakujący mogą uzyskać pełny dostęp do funkcji oprogramowania bez podawania jakichkolwiek poświadczeń.

Rekomendacja

Zaleca się aktualizację AdGuard Home do wersji 0.107.73 lub nowszej, aby usunąć tę podatność. Dodatkowo warto przeprowadzić audyt zabezpieczeń, aby upewnić się, że inne potencjalne luki są również załatane.

Oryginalny opis (angielski, źródło NVD)

AdGuard Home is a network-wide software for blocking ads and tracking. Prior to 0.107.73, an unauthenticated remote attacker can bypass all authentication in AdGuardHome by sending an HTTP/1.1 request that requests an upgrade to HTTP/2 cleartext (h2c). Once the upgrade is accepted, the resulting HTTP/2 connection is handled by the inner mux, which has no authentication middleware attached. All subsequent HTTP/2 requests on that connection are processed as fully authenticated, regardless of whether any credentials were provided. This vulnerability is fixed in 0.107.73.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS