CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-10108

HighCVSS 7.5
Published: Updated: Translated: NVD NIST

Summary

W wersji xiaomusic v0.5.7 występuje podatność na nieautoryzowany dostęp do plików poprzez przejście ścieżki w punkcie końcowym GET /music/{file_path:path}. Atakujący mogą odczytać dowolne pliki spoza zamierzonego katalogu muzycznego, wykorzystując niekompletną kontrolę prefiksu ścieżki.

Risk Assessment

Podatność ta pozwala nieautoryzowanym atakującym na dostęp do wrażliwych plików na serwerze, co może prowadzić do ujawnienia danych lub innych poważnych incydentów bezpieczeństwa.

Recommendation

Zaleca się aktualizację do najnowszej wersji xiaomusic, która naprawia tę podatność, oraz wdrożenie dodatkowych mechanizmów zabezpieczających, aby ograniczyć dostęp do plików na serwerze.

Original NVD description (English source)

xiaomusic v0.5.7 contains an unauthenticated path traversal vulnerability in the GET /music/{file_path:path} endpoint that allows unauthenticated attackers to read arbitrary files outside the intended music directory by exploiting an incomplete path prefix check. Attackers can request files from sibling directories whose names share the music_path prefix by crafting traversal sequences, bypassing the path restriction due to the missing trailing separator in the comparison logic to retrieve arbitrary files from the server.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS