CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-45327

HighCVSS 8.2
Published: Updated: Translated: NVD NIST

Summary

TinyIce to serwer strumieniowy dla audio i wideo. W wersjach od 0.8.95 do 2.4.1 brak uwierzytelnienia na końcówce WebRTC do przesyłania strumieniowego umożliwia nieautoryzowane wstrzykiwanie strumieni.

Risk Assessment

Organizacja może być narażona na nieautoryzowane wstrzykiwanie strumieni, co może prowadzić do naruszenia prywatności i integralności danych. Dodatkowo, brak odpowiednich zabezpieczeń może skutkować utratą zaufania użytkowników.

Recommendation

Zaleca się aktualizację do wersji 2.5.0 lub nowszej, aby wprowadzić wymagane uwierzytelnienie oraz dodatkowe zabezpieczenia. Należy również monitorować i ograniczać próby nieautoryzowanego dostępu do systemu.

Original NVD description (English source)

TinyIce is a streaming server for audio and video. In versions 0.8.95 through 2.4.1, missing authentication on WebRTC ingest endpoint allows unauthenticated stream injection. Version 2.5.0 fixes the issue by requiring either HTTP Basic auth or a `?password=` query parameter, comparing the supplied password against the per-mount source password (or the `default_source_password` fallback) using bcrypt, hooking into the existing brute-force IP rate-limiter (5 failed attempts per IP within 15 minutes triggers a lockout), and rejecting requests for mounts in `disabled_mounts`. The same release also tightens an adjacent endpoint, `POST /admin/golive/chunk`, which previously required session authentication but did not verify the session user's per-mount access nor check the CSRF token.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS