Katalog CVE

CVE-2026-41448

KrytyczneCVSS 9.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 30 — wyżej niż 30% wszystkich znanych CVE

Streszczenie

AdGuard Home, uruchomiony z flagą --glinet, zawiera lukę w autoryzacji, która pozwala nieautoryzowanym atakującym uzyskać pełny dostęp administracyjny poprzez dostarczenie sekwencji przejścia ścieżki w ciasteczku Admin-Token. Wykorzystuje to niesanitarną konkatenację ciągów w konstrukcji ścieżki pliku tokena w middleware authglinet.

Ocena ryzyka

Luka ta umożliwia atakującym przejęcie pełnej kontroli nad systemem, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych. Organizacje powinny być świadome ryzyka związanego z nieautoryzowanym dostępem do zasobów administracyjnych.

Rekomendacja

Zaleca się natychmiastowe zaktualizowanie AdGuard Home do najnowszej wersji, która naprawia tę lukę. Dodatkowo, należy rozważyć wyłączenie flagi --glinet, aby zminimalizować ryzyko.

Oryginalny opis (angielski, źródło NVD)

AdGuard Home, when started with the --glinet flag, contains an authentication bypass vulnerability that allows unauthenticated attackers to gain full admin access by supplying a path traversal sequence in the Admin-Token cookie, exploiting unsanitized string concatenation in the token file path construction within the authglinet middleware. Attackers can craft a request with a traversal payload in the Admin-Token header to redirect file reads to arbitrary paths.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS