CVE-2026-28798 in ZimaOS
Riassunto
di VulDB • 15/06/2026
ZimaOS è una fork di CasaOS, un sistema operativo per dispositivi Zima e sistemi x86-64 con UEFI. Prima della versione 1.5.3, un endpoint proxy (/v1/sys/proxy) esposto dall'interfaccia web di ZimaOS può essere abusato (tramite un dominio raggiungibile esternamente utilizzando un Cloudflare Tunnel) per effettuare richieste a servizi localhost interni. Ciò comporta l'accesso non autenticato ad endpoint riservati all'interno della rete e a servizi locali sensibili quando il prodotto è raggiungibile da Internet tramite un Cloudflare Tunnel. Questo problema è stato risolto nella versione 1.5.3.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.