CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-48559

MediumCVSS 5.4
Published: Updated: Translated: NVD NIST

Summary

Serwer Muzyczny Lightweight (LMS) w wersjach do 3.76.0 zawiera podatność na przechowywane ataki typu cross-site scripting, która pozwala atakującym na wykonanie dowolnego kodu JavaScript poprzez osadzenie złośliwego HTML w metadanych plików multimedialnych, takich jak GENRE, ARTIST lub ALBUM. Atakujący mogą wprowadzić spreparowany plik multimedialny do biblioteki ofiary, co powoduje zapisanie ładunku podczas skanowania biblioteki i automatyczne wykonanie go w interfejsie webowym.

Risk Assessment

Podatność ta stwarza ryzyko wykonania złośliwego kodu w przeglądarkach użytkowników, co może prowadzić do kradzieży danych, przejęcia sesji lub innych ataków na użytkowników korzystających z serwera. Organizacje powinny być świadome potencjalnych konsekwencji związanych z bezpieczeństwem danych użytkowników.

Recommendation

Zaleca się aktualizację serwera do najnowszej wersji, która eliminuje tę podatność. Dodatkowo, warto wdrożyć mechanizmy sanitizacji danych wejściowych, aby zapobiec osadzaniu złośliwego kodu w metadanych plików multimedialnych.

Original NVD description (English source)

Lightweight Music Server (LMS) though 3.76.0 contains a stored cross-site scripting vulnerability that allows attackers to execute arbitrary JavaScript by embedding malicious HTML in media file metadata tags such as GENRE, ARTIST, or ALBUM. Attackers can introduce a crafted media file into the victim's library, causing the payload to be saved during library scanning and executed automatically in the web interface due to tag content being rendered using Wt::TextFormat::UnsafeXHTML without sanitization in src/lms/ui/Utils.cpp.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS